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本 书 填补 了 公 钥 密码 学 的 理论 背景 pes Ellie > 缺 ， 对 现代 密码 学 理论 进行 解释 ， i 
提供 了 实现 密码 学 算法 的 详细 建议 。 你 将 会 掌握 如 何 构 建 一 个 全 面 的 源 代码 库 ， 其 中 包括 快速 
靠 的 高 精度 算术 函数 、 ce oes mia 12, AFOAS BSH me, yeaa 
( Advanced Encryption Standard, AES) 的 一 个 实现 。 源 代码 中 还 加 入 了 大 量 测试 包 。 


即使 你 正在 使 用 另 一 个 高 精度 算术 包 构 建 密码 学 系统 ， 你 也 能 从 本 书 给 出 的 提示 和 说 明 中 受益 
官 本 书 从 数学 的 角度 进行 阐述 ， 但 尽力 避免 不 必要 的 复杂 性 。 本 书 的 目标 是 透彻 地 解释 复杂 的 C 和 C++ 源 
代码 。 该 源 代码 可 以 从 Apress 的 网 站 上 下 载 ， 它 包含 所 有 实现 现代 密码 学 功能 所 需 的 基本 构件 。 
无 论 你 是 关注 密 码 学 算法 及 其 快速 可 靠 的 实现 ， 还 是 对 密码 学 软件 的 理论 感 兴趣 ， 本 书 都 适合 你 。 
对 密码 学 或 任何 其 他 有 关 大 整数 算术 的 数论 问题 感 兴趣 的 学 生 ， 也 会 发 现 本 书 的 价值 。 
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定 科隆 大 学 数学 硕士 ， 长 期 从 事 纯 密码 和 应 用 密码 研究 。 当 前 ， 他 最 党 采用 C 和 C++ 语言 来 编写 密码 。 
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文艺 复兴 以 来 ， 源 远 流 长 的 科学 精神 和 逐步 形成 的 学 术 规 范 ， 使 西方 国家 在 自然 科学 
的 各 个 领域 取得 了 垄断 性 的 优势 ; 也 正 是 这 样 的 优势 ， 使 美国 在 信息 技术 发 展 的 六 十 多 年 
间 名 家 辈出 、 独 领 风 骚 。 在 商业 化 的 进程 中 ， 美 国 的 产业 界 与 教育 界 越 来 越 紧 密 地 结合 ， 
计算 机 学 科 中 的 许多 泰山 北斗 同时 和 映 处 科研 和 教学 的 最 前 线 ， 由 此 而 产生 的 经 典 科学 著 
WE, 不仅 壁 划 了 人 研究 的 范畴 ， 还 揭示 了 学 术 的 源 变 ， 既 遵循 学 术 规 范 ， 又 自 有 学 者 个 性 ， 
其 价值 并 不 会 因 年 月 的 流逝 而 减退 。 

近年 ， 在 全 球 信 息 化 大 潮 的 推动 下 ， 我 国 的 计算 机 产业 发 展 迅猛 ， 对 专业 人 才 的 需求 
日 益 迫 切 。 这 对 计算 机 教育 界 和 出 版 界 都 既是 机 遇 ， 也 是 挑战 ; 而 专业 教材 的 建设 在 教育 
战略 上 显得 举足轻重 。 在 我 国信 息 技 术 发 展 时 间 较 短 的 现状 下 ， 美国 等 发 达 国 家 在 其 计算 
机 科学 发 展 的 几 十 年 间 积 证 和 发 展 的 经 典 教 材 仍 有 许多 值得 倩 鉴 之 处 。 因 此 ， 引 进 一 批 国 
外 优秀 计算 机 教材 将 对 我 国 计 算 机 教育 事业 的 发 展 起 到 积极 的 推动 作用 ， 也 是 与 世界 接 
轨 、 建 设 真 正 的 世界 一 流 大 学 的 必由之路 。 

机 械 工 业 出 版 社 华 草 公司 较 早 意识 到 “出 版 要 为 教育 服务 "。 目 1998 年 开始 ， 我 们 就 
将 工作 重点 放 在 了 六 选 、 移 译 国外 优秀 教材 上 。 经 过 多 年 的 不 懈 努 力 ， 我 们 与 Pearson， 
McGraw- Hill, Elsevier, MIT,John Wiley & Sons,Cengage 等 世界 著名 出 版 公司 建立 了 和 良 
好 的 合作 关系 ， 从 他 们 现 有 的 数 百 种 教材 中 杜 选 出 Andrew S. Tanenbaum, Bjarne Strous- 
trup, Brain W. Kernighan, Dennis Ritchie, Jim Gray, Afred V. Aho, John E. Hopcroft, Jeff- 
rey D. Ullman, Abraham Silberschatz, William Stallings, Donald E. Knuth, John 
L. Hennessy, Larry L. Peterson 等 大 师 名 家 的 一 批 经 典 作 品 ， 以 “计算 机 科学 丛书 ”为 总 
称 出 版 ， 供 读者 学 习 、 研 究 及 珍藏 。 大 理 石 纹理 的 封面 ， 也 正体 现 了 这 套 丛 书 的 品位 和 
格调 。 

“计算 机 科学 丛书 ”的 出 版 工作 得 到 了 国内 外 学 者 的 易 力 相助 ， 国 内 的 专家 不 仅 提 供 了 
中 肯 的 选 题 指 导 ， 还 不 秤 荔 杏 地 担任 了 翻译 和 审 校 的 工作 ; 而 原 书 的 作者 也 相当 关注 其 作品 
在 中 国 的 传播 ， 有 的 还 专门 为 其 书 的 中 译本 作 序 。 迄 今 , “计算 机 科学 丛书 ”已 经 出 版 了 近 
两 百 个 品种 ， 这 些 书 籍 在 读者 中 树立 了 良好 的 口碑 ， 并 被 许多 高 校 采 用 为 正式 教材 和 参考 书 
籍 。 其 影印 版 “经 典 原 版 书库 ”作为 姊妹 篇 也 被 越 来 越 多 实施 双语 教学 的 学 校 所 采用 。 

权威 的 作者 、 经 典 的 教材 、 一 流 的 译 者 、 严 格 的 审 校 、 精 细 的 编辑 ， 这 些 因 素 使 我 们 
的 图 书 有 了 质量 的 保证 。 随 着 计算 机 科学 与 技术 专业 学 科 建 设 的 不 断 完 善 和 教材 改革 的 逐 
渐 深 化 ， 教 育 界 对 国外 计算 机 教材 的 需求 和 应 用 都 将 步 人 一 个 新 的 阶段 ， 我 们 的 目标 是 尽 
善 尽 美 ， 而 反馈 的 意见 正 是 我 们 达到 这 一 终极 目标 的 重要 帮助 。 华 草 公 司 欢 迎 老 师 和 读者 
对 我 们 的 工作 提出 建议 或 给 予 指正 ， 我 们 的 联系 方法 如 下 : 

华章 网 站 . www. hzbook. com 

电子 邮件 . hzjsj@ hzbook. com 

联系 电话 : (010)88379604 

联系 地 址 : 北京 市 西城 区 百 万 庄 南 街 1 号 

邮政 编码 : 100037 华章 科技 图 书 出 版 中 心 





译 者 序 | 


Cryptography in C and C++, Second Edition 


密码 学 是 一 门 有 着 悠久 历史 的 科学 ， 在 人 类 历史 中 扮演 着 重要 的 角色 。 然 而 ， 密 码 学 
又 是 一 门神 秘 的 学 问 ， 许 多 人 知道 它 ， 却 不 了 解 它 ; 许多 人 研究 它 ， 却 不 能 公开 讨论 它 。 
早期 的 密码 学 研究 作为 各 国 的 军事 机 密 而 讳 艳 如 深 ， 直 到 20 世纪 中 时 ， 这 一 状况 才 开始 
改变 。 随 着 众多 杰出 科学 家 的 介入 ， 密 码 学 由 一 门 依 靠 设 计 者 经 验 的 编码 艺术 ， 转 变 为 一 
门 严 说 的 科学 。 尤 其 是 公 钥 密码 学 的 诞生 ， 使 得 密码 学 具备 了 保密 通信 之 外 的 更 为 广泛 的 
功能 ， 也 使 得 密码 学 成 为 一 门 攻 勃发 展 的 新 兴学 科 。 

密码 技术 从 诞生 之 初 就 以 保护 军事 机 密 和 商业 机 密 为 目标 。 我 们 的 日 常生 活 也 离 不 开 
密码 技术 ， 如 无 线 网 络 接 人 认证 、 安 全 电子 邮件 系统 等 。 因 此 ， 我 们 不 仅 要 分 析 密 码 学 的 
理论 基础 ， 更 要 研究 密码 学 的 具体 实现 。 本 书 就 是 这 样 一 本 专注 于 密码 学 实现 的 书籍 ， 这 
种 独特 的 视角 使 其 在 众多 密码 学 理论 书籍 中 脱颖而出 。 

本 书 讨 论 了 如 何 使 用 C 语言 和 C++ 语言 实现 密码 学 算法 。 这 一 过 程 远 比 想象 的 复杂 。 
公 钥 密码 学 以 大 整数 计算 为 基础 ， 而 这 些 大 整数 远 远 超过 了 C 语言 和 C++ 语言 对 整数 的 
处 理 范围 ， 因 此 实现 密码 学 算法 必须 先 实现 大 整数 计算 。 在 大 整数 计算 的 基础 上 ， 本 书 介 
绍 了 大 量 密码 学 算法 的 实现 ， 并 确保 它们 既 高 效 又 安全 。 

作为 一 本 密码 学 的 书籍 ， 本 书 叙 述 了 一 个 重要 的 对 称 加 密 算 法 AES 的 理论 及 实现 ， 
也 完整 地 实现 了 一 个 重要 的 非 对 称 密码 系统 一 一 RSA 加 密 和 RSA 签名 。 作 为 一 本 算法 实 
现 的 书籍 ， 本 书 严 格 遵 循 软 件 开 发 的 原则 ,详细 描述 了 设计 思想 及 错误 处 理 方法 ， 并 对 所 
有 函数 进行 了 广泛 的 测试 。 

对 于 以 实现 真正 实用 的 密码 学 算法 为 目的 ， 并 了 解 相关 理论 基础 的 读者 而 言 ， 本 书 是 
一 本 极 佳 的 读本 。 

由 于 译 者 的 外 语 水 平 及 专业 知识 有 限 ， 所 以 在 翻译 中 难免 有 错误 或 不 妥 之 处 ， 请 读者 
理解 并 指正 。 
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密码 学 是 一 门 有 着 两 千 多 年 历史 的 古老 艺术 。 只 要 信息 保密 的 需求 一 直 存 在 ， 那 么 保 
护 秘密 的 尝试 就 会 一 直 进 行 。 然 而 直到 最 近 三 十 年 ， 密 码 学 才 发 展 成 为 一 门 科 学 ， 并 且 为 
我 们 提供 日 常生 活 中 所 需 的 安全 保障 。 无 论 是 自动 柜员 机 、 蜂 窝 电 话 、 因 特 网 商务 ， 还 是 
汽车 上 的 计算 机 点 火 锁 ， 密 码 学 都 暗藏 其 中 。 更 重要 的 是 ， 没 有 密码 学 这 些 应 用 都 将 无 法 
工作 | 

最 近 三 十 年 的 密码 学 历史 是 一 段 非 同 寻 篆 的 成 功 故 事 。 最 重要 的 事件 无 疑 是 20 世纪 
70 年 代 中 期 公 钥 密 码 学 的 发 现 。 这 是 一 场 真 正 的 革命 : 现在 我 们 知道 那些 以 前 不 敢 想 象 
的 事物 是 可 能 的 。Diffie 和 Hellman 第 一 个 公开 表达 了 安全 通信 必须 能 自发 地 发 生 的 愿 
景 。 在 此 之 前 ， 发 送 者 和 接收 者 必须 首先 通过 保密 通信 建立 一 个 共同 的 密 钥 。Diffie 和 
Hellman 提出 了 一 个 天 真 的 问题 : 人 们 是 否 可 以 在 不 共享 一 个 共同 密 钥 的 情况 下 进行 保密 
通信 ? 他 们 的 想法 是 不 使 用 其 他 人 不 知道 的 私 钥 加 密 信 息 。 这 个 想法 标志 着 公 钥 密码 学 的 
诞生 。 随 着 几 年 后 RSA 算法 的 出 现 ， 这 一 愿景 不 再 只 是 一 个 大 胆 的 猜测 。 

数学 与 计算 机 科学 富有 成 效 的 合作 使 现代 密码 学 成 为 可 能 。 数 学 为 算法 的 创造 和 分 析 
提供 了 基础 。 没 有 数学 ， 尤 其 是 没有 数论 ， 公 钥 密 码 学 就 无 法 实现 。 数 学 提供 了 用 于 算法 
运算 的 成 果 。 

右 要 实现 密码 学 算法 ， 则 需要 能 够 支持 大 整数 计算 的 程序 : 这 些 算法 不 能 仅 在 理论 上 
发 挥 作 用 ， 还 必须 按 现实 世界 的 规范 执行 。 这 是 计算 机 科学 的 任务 所 在 。 

本 书 区 别 于 所 有 其 他 相关 书籍 的 地 方 在 于 ， 本 书 阐 明了 数学 和 计算 之 间 的 关系 。 我 没 
有 看 到 任何 其 他 的 密码 学 书籍 能 在 充分 地 呈现 数学 基础 的 同时 ， 还 能 提供 大 量 的 实际 应 
用 ， 并 且 使 所 有 内 容 都 清晰 易 读 。 

本 书 是 作者 对 其 专业 知识 的 精彩 呈现 。 他 了 解 理论 ， 并 且 能 清晰 地 表达 它们 ;他 了 解 
应 用 ， 并 且 能 展现 许多 程序 来 实现 它们 ; 他 了 解 许 多 东西 ， 但 没有 表现 出 无 所 不 知 的 样 
子 ; 他 清晰 地 提出 他 的 论据 ， 以 便 读 者 能 获得 一 个 清晰 的 理解 。 简 而 言 之 ， 这 是 一 本 出 色 
的 书 。 

祝福 作者 ! 并 祝福 你 ， 本 书 的 读者 ! 


Albrecht Beutelspacher 
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当 必 须 与 数字 打交道 时 ， 我 宁愿 把 自己 塞 进 地 洞 中 ， 这 样 就 看 不 见 位 何 东 西 。 业 果 我 
抬 起 头 ， 看 见 大 海 、 一 棵 树 或 者 一 个 女人 (即使 只 是 一 个 老 贱 人 )， 人 由 果 将 所 有 的 结果 和 数 
字 都 化 作 一 阵 轻 烟 。 它 们 长 出 翅膀 飞 走 了 ， 我 只 能 去 追赶 。 

— Nikos Kazanzakis, 《 Zorba the Greek) 


本 书 的 英文 第 2 版 又 经 历 了 一 次 修订 与 扩充 。 我 们 完全 重 写 了 随机 数 生 成 器 这 一 和 草 ， 
并 且 大 幅 修订 了 素性 检验 这 一 节 。Agrawal、Kayal 和 Saxena 在 素性 检验 方面 的 最 新 成 
果 一 一 曾经 在 2002 年 引起 秦 动 的 PRIMES is in P》， 也 涵盖 在 内 。 我 们 重新 安排 了 Rijn- 
dael/AES 这 一 章 的 位 置 ， 以 便 达 到 更 好 的 效果 。 同 时 也 指出 Rijndael 的 标准 化 作为 高 级 
加 密 标准 (Advanced Encryption Standard) 被 美国 国家 标准 与 技术 人 研究 院 (National Institu- 
te of Standards and Technology，NIST) 列 为 官方 标准 。 

与 本 书 之 前 的 版 本 不 同 ， 英 文 第 2 版 不 再 包含 一 张 有 程序 源 代码 的 光盘 。 相 应 地 ， 源 
代码 可 以 从 www. apress. com 的 Downloads 处 下 载 。 

感谢 出 版 社 和 译 者 ， 他 们 使 这 本 书 有 了 中 文 、 韩 文 、 波 兰 文 和 俄 文 的 版 本 ， 同 时 他 们 
的 仔细 阅读 也 为 该 版 本 的 质量 做 出 了 贡献 。 

骨 一 次 感谢 David Kramer 付出 智慧 与 汗水 将 本 书 翻译 为 英文 ， 还 要 感谢 Apress 的 
Gary Cornell 愿意 出 版 这 本 英文 第 2 版 。 

最 后 ， 感 谢 Springer Science 出 版 社 ， 尤 其 是 Hermann Engesser, Dorothea Glausing- 
er 和 Ulrike Sricker， 感 谢 他 们 的 愉快 合作 。 


| 英文 第 1 版 前 言 
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REA-TREMEERPE HSH, CAAADELAMNRAREEDUE, BA 
是 关于 清算 的 科学 。 数 学 家 不 会 把 他 们 的 时 间 花 在 起 出 更 聪明 的 乘法 方法 、 更 快 的 加 法 方 
法 叹 及 更 好 的 开 立 方 方 法 上 。 





Paul Hoffman, (The Man Who Loved Only Numbers) 


英文 第 1 版 翻译 自 德 文 第 2 版 。 德 文 第 2 版 在 许多 方面 对 德 文 第 1 版 进行 了 修订 和 扩 
充 ， 增 加 了 一 些 密码 学 算法 实例 ， 如 Rabin 和 El Gamal 函数 ， 并 在 RSA 函数 的 实现 中 采 
用 了 RIPEMD -160 散 列 函数 以 及 PKCS#1 格式 。 同 时 ， 还 讨论 了 导致 程序 缺陷 的 可 能 错 
误 来 源 。 许 多 文字 部 分 都 进行 了 扩充 、 澄 清 以 及 错误 更 正 。 另 外 ， 强 化 了 讲授 策略 ， 因 此 
有 些 程序 的 源 代 码 与 书 中 的 描述 存在 某 些 细节 上 的 区 别 。 并 不 是 所 有 技术 细节 都 同样 重 
要 ， 人 快速 有 效 的 代码 也 不 总 是 清晰 易 读 、 引 人 注意 。 

谈 到 效率 ， 在 附录 D 中 将 程序 的 运行 时 间 与 GNU 多 精度 库 中 的 特定 函数 进行 了 比较 。 在 
比较 中 ，FLINT/C 指数 运算 表现 不 俗 。 作 为 补充 ， 附 录 下 提供 了 一 些 算术 和 数论 包 以 供 人 参考 。 

软件 扩充 了 一 些 函 数 ， 并 在 一 些 地 方 进行 了 大 量 完 善 工作 ， 移 除了 一 些 错误 和 不 精确 
的 地 方 。 软 件 开 发 了 额外 的 测试 函数 ， 并 扩充 了 现 有 的 测试 函数 。 软 件 还 实现 了 一 种 安全 
模式 ， 通 过 重 写 ， 删 除了 隐 数 中 与 安全 性 密切 相关 的 变量 。 附 录 中 明确 地 引用 了 所 有 的 C 
和 C++ 函数 并 加 以 说 明 ，。 

由 于 当前 编译 絮 文 持 的 C++ 标准 并 不 统一 ， 所 以 FLINT/C 包 的 C++ 模块 被 设计 为 
在 传统 的 形式 为 xxxxx.h 的 C++ 头 文件 和 新 的 ANSI 头 文件 中 都 可 以 使 用 。 出 于 同样 的 
原因 ， 在 使 用 new () 运 算 符 时 将 检查 是 否 返 回 一 个 null 指针 。 这 类 错误 处 理 没 有 使 用 AN- 
SI 标准 异常 ， 但 能 在 当前 的 编译 需 下 工作 。 而 遵从 标准 的 方法 ， 即 new() 通 过 throw () 生 
成 一 个 错误 ， 并 不 总 是 可 行 的 。 

虽然 本 书 专注 于 非 对 称 密 码 学 的 基本 原理 ,但 是 由 于 Rijndael 最 近 被 美国 国家 标准 与 
技术 研究 院 (NIST) 提 名 为 高 级 加 密 标 准 (AES)， 所 以 将 这 一 算法 的 描述 放 到 最 后 一 章 ( 第 
11 Æ). H Apress 的 Gary Cornell 提出 这 个 主题 ， 并 使 我 相信 它 值得 成 为 本 书 的 一 部 
分 。 感 谢 Vincent Rijmen, Antoon Bosselaers, Paulo Barreto 和 Brian Gladman 人 允许 我 们 
在 本 书 的 源 代 码 中 包含 他 们 的 Rijndael 实现 。 

感谢 所 有 第 1 版 的 读者 ， 尤 其 是 那些 指出 错误 、 给 出 评论 或 提出 改进 意见 的 人 。 我 们 
非常 愿意 与 他 们 交流 。 和 往常 一 样 ， 作 者 承担 所 有 仍然 留 在 本 书 或 软件 中 的 错误 ， 以 及 任 
何 新 增 错误 的 责任 。 

由 衷 地 感谢 Apress 的 Gary Cornell 以 及 Springer-Verlag 的 Hermann Engesser, Dor- 
othea Glaunsinger 和 Ulrike Stricker， 感 谢 他 们 的 无 私 奉献 和 友好 合作 。 

感谢 我 的 译 者 David Kramer， 他 以 卓越 的 专业 知识 以 及 孜孜 不 倦 的 奉献 精神 提出 了 大 
量 宝贵 的 意见 ， 这 些 内 容 也 融入 了 本 书 的 德 文 版 中 。 

警告 

在 使 用 包含 在 本 书 中 的 程序 前 ， 请 参考 相关 软件 和 计算 机 的 产品 指南 与 技术 说 明 。 作 
者 和 出 版 社 都 不 承担 任何 由 于 不 正确 地 使 用 本 书 程序 所 带 来 的 损失 。 可 下 载 的 源 代码 中 的 
程序 受到 版 权 保 护 ， 未 经 出 版 社 允 许 不 能 复制 。 


德 文 第 1 版 前 言 


Cryptography in C and C++, Second Edition 


数学 是 科学 的 皇后 。 数 论 是 数学 的 皇后 。 通 常 ， 怒 层 苯 帮助 天 文学 与 其 他 自然 科学 ， 
但 在 位 何 情况 下 ， 她 都 是 最 重要 的 。 





Carl Friedrich Gauss 


本 书 专注 于 整数 算术 及 其 在 计算 机 程序 中 的 应 用 ， 不过， 为 什么 我 们 需要 这 样 一 本 密 
码 学 的 书 ? 这 与 计算 机 科学 一 般 所 牵涉 的 重要 问题 比 起 来 是 否 是 一 个 微不足道 的 主题 呢 ? 
只 要 我 们 把 自己 封闭 在 那些 可 以 用 编程 语言 标准 数字 类 型 表示 的 数 的 范围 内 ， 算 术 就 是 一 
件 非 常 简单 的 事 ， 那 些 熟悉 的 算术 运算 伴随 着 熟悉 的 符号 十 、 一 、/、* 在 程序 中 上 自然 地 
出 现 。 

但 是 ， 当 我 们 需要 长 度 远 远大 于 16 位 或 32 位 的 结果 时 ， 和 情况 就 变 得 有 趣 了 。 即 使 是 
基本 的 算术 运算 也 无 法 在 这 些 数 上 实现 ， 我 们 需要 投入 大 量 精力 解决 那些 以 前 从 来 不 是 问 
题 的 问题 。 任 何 研究 数论 尤其 是 现代 密码 学 课题 的 人 ， 无 论 是 专业 人 士 还 是 业余 爱好 者 ， 
都 熟知 这 样 的 情况 : 我 们 在 学 校 里 学 到 的 算术 技术 都 要 重新 思考 ， 并 且 我 们 会 发 现 上 自己 有 
时 候 要 解决 难以 置信 的 复杂 过 程 。 

那些 想 要 在 这 些 领 域 开 发 程序 但 不 想 从 头 开 始 的 读者 将 发 现 ， 本 书包 含 的 一 系列 用 于 
大 整数 计算 的 函数 可 以 作为 C 和 C++ 的 扩展 。 我 们 并 不 讨论 那些 解释 “ 它 的 工作 原理 是 
什么 ”的 “小 儿科 ”的 例子 。 我 们 提供 一 套 完整 的 函数 和 方法 ， 它 们 满足 行业 的 稳定 与 性 
能 需求 ， 并 有 者 坚实 的 理论 基础 。 

在 理论 和 实践 之 间 建 立 连接 是 本 书 的 目标 ， 即 填补 理论 文献 与 实际 编程 问题 之 间 的 缝 
际 。 在 前 面 的 几 章 中 ， 我 们 逐步 研究 大 的 目 然 数 的 基本 计算 原理 、 有 限 环 和 域 中 的 算术 ， 
以 及 一 些 更 复杂 的 初等 数论 函数 ， 并 阐述 将 这 些 原理 应 用 于 现代 密码 学 的 各 种 可 能 性 。 我 
们 对 数学 基本 原理 的 解释 足以 帮助 读者 理解 本 书 给 出 的 程序 ， 对 于 那些 想 要 深入 了 解 的 
人 ， 我 们 提供 了 大 量 的 参考 文献 。 我 们 将 开发 的 函数 组 织 到 一 起 并 进行 大 量 测试 ， 最 终 形 
成 一 个 有 用 且 全 面 的 编程 接口 。 

我 们 从 大 数 的 表示 开始 ， 并 在 随后 几 章 中 探讨 计算 的 基础 。 对 于 大 数 的 加 法 、 减 法 、 
乘法 和 除法 ， 我 们 编写 了 强大 的 基本 图 数 。 基 于 这 些 函 数 ， 我 们 解释 剩余 类 中 的 模 算 术 ， 
并 在 库 函 数 中 实现 了 相应 的 运算 。 我 们 划分 了 单独 的 一 章 专注 于 耗 时 的 需 运 算 过 程 ， 该 章 
设计 并 实现 了 一 些 针 对 模 算 术 中 应 用 的 特定 算法 。 

在 经 过 大 数 输入 与 输出 、 不 同 基数 之 间 的 转换 等 准备 后 ， 我 们 使 用 这 些 基本 的 算术 函 
数 研 究 初 等 数论 算法 ， 然 后 从 计算 大 数 的 最 大 公约 数 开 始 开发 程序 。 接 着 我 们 转向 研究 计 
算 Legendre 和 Jacobi 符号 、 在 有 限 环 上 求 逆 和 计算 平方 根 等 问题 ， 并 熟悉 中 国 剩余 定理 
及 其 应 用 。 

接 下 来 ， 我们 讨论 识别 大 素数 的 原理 的 细节 ， 并 编写 了 强大 的 多 阶段 素性 检验 程序 。 

随后 的 一 章 致力 于 大 随机 数 的 生成 ， 开 发 了 密码 学 中 使 用 的 位 生成 器 ， 并 测试 了 其 统 
计 特 征 。 

在 第 一 部 分 的 最 后 ， 我 们 测试 了 算术 以 及 其 他 功能 。 我 们 从 算术 的 数学 规则 中 导出 特 
殊 的 测试 方法 ， 并 考虑 了 高 效 的 外 部 工具 的 实现 。 


第 二 部 分 的 主题 是 逐步 构建 C++ 类 LINT (Large INTegers)。 在 此 过 程 中 ， 我 们 将 第 
一 部 分 的 C 函数 对 入 面向 对 象 编程 语言 C++ 的 语法 与 语义 中 。 我 们 特别 关注 使 用 灵活 的 
流 函 数 和 操控 器 对 LINT 对 象 进行 格式 化 输入 和 和 输出， 以 及 基于 异常 的 错误 处 理 。 用 
C++ 表示 的 算法 的 优雅 令 人 印象 深刻 ， 尤 其 是 标准 类 型 和 LINT 对 象 的 边界 变 得 模糊 ， 使 
得 在 实现 算法 时 语法 较为 接近 ， 并 且 更 清晰 和 透明 。 

最 后 ， 我 们 通过 实现 用 于 加 密 和 数字 签名 的 扩展 RSA 密码 系统 展示 如 何 应 用 我 们 开 
发 的 方法 。 在 这 个 过 程 中 ,我 们 解释 最 具 代 表 性 的 非 对 称 密码 系统 RSA 的 理论 及 其 操作 。 
根据 C++ 编程 语言 的 面向 对 象 原则 ， 我 们 在 一 个 自 包 含 的 例子 里 开发 了 一 个 可 扩展 的 
内 核 。 

我 们 以 对 软件 库 进一步 可 能 的 扩展 的 讨论 作为 结束 。 作 为 最 后 的 一 个 要 点 ， 我 们 给 出 
4 个 用 于 乘法 和 除法 的 80x86 汇编 语言 的 函数 ， 它 们 能 改进 软件 的 效率 。 附 录 D 包含 了 使 
用 和 不 使 用 汇编 各 情况 下 的 典型 计算 时 间 的 表格 。 

衷心 地 欢迎 本 书 的 所 有 读者 加 入 我 们 ， 或 者 根据 个 人 兴趣 专注 于 某 些 章 节 ， 并 试用 给 
出 的 函数 。 作 者 用 “我 们 ” 指 代 自己 及 读者 ， 和 布 望 这 一 点 不 会 引起 误解 。 他 和 希望 借 此 鼓励 
他 们 在 数学 和 计算 机 科学 的 前 沿 领 域 发 挥 积极 的 作用 ， 并 从 本 书 中 受益 。 至 于 软件 ， 我 们 
豆 励 读者 通过 新 的 实现 优化 一 个 或 多 个 函数 的 范围 或 速度 。 

感谢 Springer-Verlag， 特 别 是 Hermann Engesser, Dorothea Glaunsinger 和 Ulrike 
Stricker， 他 们 对 本 书 的 出 版 抱 有 兴趣 ， 并 开展 了 友好 积极 的 合作 。 本 书 手稿 由 Jorn 
Garbers, Josef von Helden, Brigitte Nebelung, Johannes Ueberberg 和 Helga Welschenbach 审 
阅 。 圳 心地 感谢 他 们 至 关 重 要 的 建议 与 改进 ， 以 及 他 们 的 细心 与 耐心 。 尽 管 我 们 付出 了 努 
力 ， 但 本 书 或 软件 中 仍 可 能 存在 错误 ， 作 者 将 独 目 承 担 责 任 。 非 党 感谢 我 的 朋友 及 同事 
Robert Hammelrath, Franz-Peter Heider, Detlef Kraus 和 Brigitte Nebelung， 在 多 年 的 
合作 中 ， 他 们 对 数学 与 计算 机 科学 之 间 关 联 的 洞察 对 我 影响 深远 。 
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算术 与 数论 : C 实现 





算术 和 营 个 数学 艺术 的 重要 性 是 显而易见 的 ， 几 他 所 有 的 创造 都 高 
AF HMHBRF HAE, CH, WEAF REAM, LAK RÈ EÈ 
的 艺术 。 

—— Adam Ries, K Book of Calculation), 1574 


操纵 数字 的 排 印 规则 ， 事 实 上 ， 也 就 是 数字 的 运算 规则 。 
—— D. R, Hofstadter, 
( Godel, Escher, Bach: An Eternal Golden Braid) 


AF GKBRBAROSAERUFAKZH ARB! 天 才 的 人 们 拥有 思 
者 的 能 力 而 非 只 是 书写 数 穹 。 





StenNadolny, {The Discovery of Slowness} 
( Ralph Freedman # ) 
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2 论 





上 帝 创 造 了 整数 ， 剩 下 的 就 是 人 类 的 工作 了 。 





Leopold Kronecker(1823— 1891) 


看 着 “ 零 ” 时 ， 你 什么 都 看 不 到 ， 但 是 透 过 它 你 可 以 看 到 这 个 世界 。 
—— Robert Kaplan, «The Nothing That Is: A Natural History of Zero) 


不 管 是 否 愿 意 ， 理 解 现 代 密 码 学 必 将 涉足 数论 ， 即 自然 数 的 研究 。 数 论 是 整个 数学 学 
科 中 最 引人入胜 的 领域 之 一 。 但 是 ,我 们 不 必 为 了 密码 学 的 应 用 而 深入 浩瀚 的 数学 海洋 、 
挖掘 胜 涩 的 数学 宝藏 ， 我 们 的 目标 比较 适中 。 当 然 ， 对 密码 学 涉及 的 数论 进行 任何 程度 的 
深入 研究 都 不 为 过 ， 在 密码 学 这 个 领域 确实 有 很 多 著名 的 数学 家 做 出 了 非常 重要 的 贡献 。 

人 们 对 数论 的 研究 历史 源远流长 。 古 希腊 数学 家 和 哲学 家 Pythagoreans 及 他 的 学 派 早 
在 公元 前 六 世纪 就 已 经 对 整数 之 间 的 关系 进行 了 较为 深入 的 探索 并 获得 了 一 些 重要 的 结 
论 ， 例 如 著名 的 Pythagoreans EMS, 该 定理 几乎 在 每 一 所 中 学 的 课本 上 都 会 出 现 。 当 时 
由 于 对 宗教 的 信仰 ， 他 们 认为 所 有 的 数 都 应 该 和 自然 数 相对 应 。 不 入， 他们 就 发 现 目 己 处 
在 一 个 自 相 矛盾 的 境地 ， 因 为 他 们 发 现 了 像 V2 这 样 不 能 表示 成 两 个 整数 的 商 的 无 理 数 。 这 
个 发 现 使 得 Pythagoreans 学 派 的 世界 观 发 生 了 混乱 ， 以 至 于 他 们 抵制 无 理 数 的 相关 知识 ， 
当然 ， 这 只 是 人 类 历史 上 经 常 重演 的 一 次 次 徒劳 无 益 的 行为 之 一 。 

我 们 今天 用 来 保障 因特网 中 通信 安全 最 常用 的 加 密 算法 就 与 两 个 最 早 的 数论 算法 紧密 
相关 ， 这 两 个 算法 分 别 出 自古 希腊 数学 家 Euclid( 公 元 前 三 世纪 ) 和 Eratosthenes( 公 元 前 
267 年 一 公元 前 195 年 ) 之 手 。“Euclid 算法 ”和 “Eratosthenes 箭 法 ”这 两 个 算法 与 我 们 
现在 的 工作 紧密 相连 ， 我 们 将 在 10. 1 节 和 10.5 节 中 分 别 介绍 其 理论 和 应 用 。 

Pierre de Fermat (1601—1665)、 Leonhard Euler (1707—1783)、 Adrien Marie Leg- 
endre(1752— 1833). Carl Friedrich Gauss(1777—1855) A] Ernst Eduard Kummer(1810— 
1893) 等 人 被 认为 是 现代 数论 最 重要 的 况 基 者 。 他 们 的 工作 形成 了 这 个 领域 发 展 的 基础 ， 
尤其 是 对 密码 学 这 样 有 趣 的 应 用 领域 的 基础 性 贡献 ， 例 如 非 对 称 加 密 的 产生 和 数字 签名 的 
生成 (参见 第 17 章 ) 。 如 果 不 是 限于 篇 幅 ， 我们 还 想 再 提 一 些 在 这 个 领域 做 出 重要 贡献 的 
数学 家 ， 他 们 一 直 为 数论 的 发 展 发 挥 着 极其 重要 的 作用 。 我 非常 推崇 Simon Singh 所 著 的 
«Fermat’s Last Theorem)— +. 

考虑 到 我 们 在 孩提 时 代 已 经 学 会 了 计数 并 将 一 些 事 实 认 为 理所当然 ， 比 如 2 加 2 等 于 
4， 我 们 必须 构建 一 些 抽 象 的 概念 进行 一 些 理论 判断 的 假设 。 例 如 ， 集 合 论 帮助 我 们 从 
“(几乎 ) 没 有 ”出 发 去 理解 自然 数 的 存在 和 运算 。“ 几 乎 没有 ”就 是 空 集 名 :=={}， 即 这 个 
集合 中 没有 任何 元 素 。 当 我 们 把 空 集 对 应 到 自然 数 0 时 ， 我们 就 可 以 通过 如 下 方法 构建 加 
法 的 集合 。0 的 后 继 者 0 可 以 对 应 为 集合 0” := 二 10} 二 {名}， 这 个 集合 包含 唯一 的 元 素 ， 
这 个 元 素 即 为 空 集 。 我们 将 0 的 后 继 者 命名 为 1， 于 是 我 们 可 以 给 出 1 的 后 继 者 1+ :二 


O 即 匀 股 定理 ， 一 一 译 者 注 


(D. {Dh}, Har 0 和 1 两 个 元 素 ， 我 们 将 其 定义 为 2。 于 是 这 些 集合 就 定义 了 我 们 熟 
知 的 自然 数 0、1 

HA 即 为 每 一 个 zx 给 出 其 后 继 者 x* := 二 xU {x}， 这 种 方式 可 以 用 
来 产生 更 多 的 数 。 于 是 ， 除 了 0 以 外 ， 每 个 数 都 可 以 用 该 方法 产生 ， 即 它 本 身 是 一 个 包含 
gg > RA 0 没有 前 继 者 。 为 了 保证 这 个 产生 过 程 无 限 地 继续 下 去 ， 集 合 论 规定 

一 个 称 为 无 穷 性 公理 的 法 则 : 即 存在 一 个 集合 ， 它 包含 0 和 其 中 每 一 eng 

根据 假设 的 后 继 集合 (以 0 开始 且 包 含 所 有 后 继 者 的 集合 ) 存 在 性 ， 集 合 论 给 出 了 一 
最 小 的 后 继 集 合 NN 的 存在 性 ， 该 集合 是 所 有 后 继 集 合 的 子 集 。 这 个 最 小 且 唯 一 USRA 
N 称 为 自然 数 集 ， 这 里 我 们 将 0 也 作为 元 素 包 含 其 中 ”。 

自然 数 可 以 用 Giuseppe Peano(1858 一 1932) 提 出 的 公理 来 描述 ， 这 种 方式 也 更 符合 我 
们 直观 上 对 自然 数 的 理解 : 

1) 两 个 不 相等 自然 数 的 后 继 者 也 不 相等 :对 于 所 有 的 n，mE N,， AinAm, W nt Am 。 

2) BR O 以 外 ， 所 有 上 自然 数 都 有 后 继 者 : No =N \ {0} 

3) 完全 归纳 法 : 如 果 SEN，0ES, HER nES, BAn' ES, M SSN., 

完全 归纳 法 给 出 了 我 们 感 兴 趣 的 自然 数 的 运算 。 作 为 基础 运算 的 加 法 和 减法 可 以 如 下 
定义 递归 。 首 先 定 义 加 法 : 

任意 给 定 自 然 数 NEN. 存在 一 个 从 NN 到 NN 映 射 的 函数 s,， 满 足 : 

1) s (0)=n; 

2) 对 于 任意 给 定 的 自然 数 zEN， 有 ww(zfr) 一 (ww(Cz))+。 
PRA s, (xz) 的 值 就 称 为 xn 和 xz 的 和 nn 十 zx。 

然而 ， 对 于 所 有 自然 数 n€E N ,需要 证 明 是 否 存 在 这 样 的 函数 s,， 因 为 自然 数 的 无 穷 
性 并 不 是 一 个 先 验 的 假设 。 根据 上 文 提 到 的 Peano 第 三 公理 (参见 LHalmj 的 第 11~ 13 
草 )， 将 该 加 法 的 存在 性 证 明 规 约 到 完全 归纳 法 的 基本 规则 。 同 时 ， 可 以 用 类 似 的 方法 来 
定义 乘法 : 

任意 给 定 目 然 数 n€ N ， 存 在 一 个 从 NN 到 NN 映射 的 函数 pao WAE: 

1) P, CO) =0; 

2) 对 于 任意 给 定 的 自然 数 zEN A plt )= p,a) +n. 
PA p, CO MARA n Ala 的 积 n。， 2 

不 出 所 料 ， 目 然 数 的 乘法 就 是 用 加 法 来 定义 的 。 通 过 如 上 对 上 自然 数 加 法 和 乘法 的 定 
义 ， 该 定义 可 以 通过 重复 对 r 进行 完全 归纳 来 证 明 ( 根 据 Peano 第 三 公理 )， 我们 可 以 得 出 
结合 律 、 交 换 律 和 分 配 率 (参见 LHalm | 的 第 13 章 ) 等 熟知 的 运算 律 。 尽 管 我 们 经 常 不 假 思 
索 地 频繁 使 用 这 些 运算 律 ， 但 是 当 检 验 我 们 编写 的 FLINT 函数 库 ( 参 见 第 13 章 和 第 18 
章 ) 时 ， 我 们 还 是 要 尽 可 能 地 对 其 运用 目 如 。 

用 类 似 的 方法 我 们 可 以 获得 窘 运算 的 定义 ， 鉴 于 该 运算 在 后 续 章 节 中 的 重要 性 ， 我 们 
在 这 里 给 出 其 定义 形式 。 

任意 给 定 目 然 数 zE N FFLE—PAN BIN BRST AY PRE e,， 满 足 

1) e, (O)=1; 

2) 对 于 任意 给 定 的 自然 数 zEN， 有 e(xz-) 王 ec (zz)。7 


日 ”根据 标准 DIN 5473，0 属于 自然 数 ， 这 本 身 并 非 一 个 毫 无 争议 的 选择 。 但 是 ， 从 计算 机 科学 的 角度 ， 以 0 
作为 计数 的 开始 比 1 更 符合 实际 ， 这 也 标志 0 作为 加 法 运算 (加 法 一 致 性 )( 即 任意 自然 数 与 0 相 加 等 于 其 本 
身 。 一 一 译 者 注 ) 中 “中 立 元 素 ”的 重要 性 ， 
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函数 e (zx) 的 值 就 称 为 n 的 x KR. IASI. FETT AY DAVE BH eR CL 6 章 ): 
nnt =n Er, A 5s M =n 

除了 计算 操作 ， 在 自然 数 集合 N 上 还 定义 了 “二 ”的 顺序 关系 以 便 允 许 对 任意 给 定 的 
两 个 元 素 (z，mE N ) 进 行 比较 。 尽 管 这 个 事实 值得 我 们 从 集合 论 的 观点 进行 高 度 关 注 ， 
但 是 实际 上 我 们 已 能 非常 清晰 地 理解 这 种 关系 并 在 我 们 的 日 常生 活 中 经 常 使 用 。 

既然 我 们 从 建立 一 个 空 集 作为 唯一 的 基础 构件 开始 定义 自然 数 ， 那 么 接 下 来 我 们 将 考 
虑 一 些 实质 性 的 问题 。 尽 管 数论 主要 考虑 自然 数 、 整 数 以 及 它们 的 性 质 ， 而 不 过 多 地 关注 
其 他 内 容 ， 但 是 ， 我 们 至 少 应 鸟 梧 数 学 分 支 的 “细胞 分 裂 ”， 这 种 “分 裂 ”不 仅 产 生 了 数 
论 ， 还 包括 我 们 后 面 所 涉及 的 运算 及 其 规则 。 


关于 软件 


本 书 中 描述 的 软件 包含 在 一 个 完整 的 软件 包 中 ， 这 个 软件 包 是 我 们 经 常 引 用 的 函数 
库 。 我 们 将 这 个 库 命名 为 FLINT/C， 它 是 “数论 和 密码 学 中 的 大 整数 函数 ”(functions 
for large integers in number theory and cryptography) 的 首 字 母 缩 写 。 

FLINT/C 库 包 含 的 模块 如 表 1-1 一 表 1-5 所 示 ， 这 些 模 块 的 源 代码 在 www. apress. com 
中 可 以 找到 。 


R 1-1 目录 flint/src 中 用 C 实现 的 算术 与 数论 










flint.h 使 用 flint.c 的 头 文件 
flint.c 用 C Fs AY FEAR A BE PR 
kmul. {h,c} Karatsuba 乘法 和 开 方 函数 


散 列 函数 RIPEMD-60 的 实现 

散 列 函数 SHA-1、SHA-256 的 实现 
生成 作为 伪 随 机 序列 初始 值 的 炉 
生成 伪 随 机 数 

高 级 加 密 算 法 (AES) 的 实现 


ripemd. {h,c} 
sha{1,256}.{h,c} 
entropy.c 
random. {h,c} 


aes.{h,c} 


% 1-2 目录 flint/src/asm 中 用 80x86 汇编 器 (参见 第 19 章 ) 描 述 的 算术 模块 







法 ， 用 来 代替 flint.c 中 的 C AX mult () 
乘法 ， 用 来 代替 C 函数 umul () 
平方 ， 用 来 代替 CRX sar () 

， 用 来 代替 C 函数 div_1() 





mult.{s,asm} 
umul.{s,asm} 
sgqr.{s,asm} 


div.{s,asm} 





表 1-3 目录 flint/test 和 目录 flint/test/testvals 中 的 测试 (参见 13.2 节 和 第 18 B) 
用 C 和 C++ 描述 的 测试 程序 
AES 的 测试 回 量 












testxxx.cl pp | 





MEN. EXE 


% 1-4 目录 flint/lib 70 A & flint/lib/dil 中 用 80x86 iL Meee IAA HAE 





flinta.lib 用 目标 模块 格式 (OMF) 描 述 的 汇编 函数 库 


用 通用 对 和 象 文件 格式 (COFF) 描 述 的 汇编 函数 库 









rlilanrtawve.1is 


flanta OS/2 F emx/gec 的 汇编 函数 静态 库 
libflint.a Linuc 下 汇编 图 数 静 态 库 
flint.dll MS VC/C++ 下 FLINT/C 的 动态 链接 库 (DLL) 


flint.lib flint.all 的 链接 库 


% 1-5 flint/rsa 目录 中 RSA 的 实现 (参见 第 17 B) 






RSA 类 的 头 文件 
RSA 类 RSAkey 和 RSApub 的 实现 
RSA 类 及 其 函数 的 应 用 例子 


rsakey.h 









rsakey.cpp 


rsademo.cpp 


FLINT /C 软件 的 组 件 列表 可 以 在 源 代 码 中 的 readme.doc 中 找到 。 该 软件 已 经 在 如 
下 的 平台 中 用 开发 工具 进行 了 测试 : 

@ Linux, SunOS 4.1 All Sun Solaris FAY GNU gcc 

e OS/2 Warp, DOS 和 Windows(9x, NT) FAY GUN/EMX gce 

èe Windows(9x, NT, 2000, XP) Ff Borland BCC32 

e Windows(9x, NT, 2000, XP) FAX lec-win32 

e Windows(9x, NT, 2000, XP) Ff Cygnus cygwin B20 

e OS/2 Warp 和 Windows(9x, NT, 2000, XP) FAY IBM VisualAge 

e DOS, OS/2 Warp 和 Windows(9x, NT) FAY Microsoft C 

© Windows(9x, NT, 2000, XP) FAY Microsoft Visual C/C++ 

e DOS, OS/2 Warp 和 Windows(3.1, 9x, NT, XP) FAY Watcom C/C++ 

e Windows(2000, XP) FAY OpenWatcom C/C++ 

汇编 程序 通过 Microsoft MASM ®, Watcom WASM sk GNU 汇编 器 GSA 可 以 进行 
换 。 它 们 已 转化 成 对 象 模型 格式 (OMEF ) 和 通用 对 象 文件 格式 (COFF ) 库 的 格式 ， 以 及 
LINUX 静态 库 的 格式 ， 并 包含 在 可 下 载 的 源 代 码 中 。 在 已 定义 的 FLINT ASM È AE tk K 
数 库 的 情况 下 ， 上 述 格式 的 代码 可 以 代 奉 C 函数 。 

以 GNU Waa PEAR gcc 为 例 ， 一 次 典型 的 编译 硕 调 用 类 似 于 如 下 的 过 程 ( 到 源 程 序 目 
录 的 路 径 未 知 时 ) : 


gcc -02 -0 rsademo rsademo.cpp rsakey.cpp flintpp.cpp 
randompp.cpp flint.c aes.c ripemd.c sha256.c entropy.c 
random.c -lstdc++ 


在 编译 中 定义 宏 FLINTPP ANSI 时 ， 需 要 使 用 遵循 美国 国家 标准 协会 (ANSI) 标 准 编 
号 的 C++ 头 文件 ; 和 否则， 使 用 传统 的 头 文 件 xxxxx.h. 

不 同 的 计算 机 平台 编译 程序 开关 可 能 会 各 有 不 同 ,， 但 是 通常 为 了 达到 最 佳 性 能 都 需要 
开局 速度 优化 程序 。 同 时 ， 由 于 栈 的 使 用 ,不 同 的 环境 和 应 用 也 可 能 需要 做 相应 的 调整 。 
考虑 到 特定 应 用 对 栈 大 小 的 要 求 ， 读 者 可 以 参考 第 6 章 中 对 客运 算 函 数 的 一 些 建议 。 当 
然 ， 如 果 使 用 动态 栈 分 配 或 用 动态 寄存 怖 (参见 第 9 BE) SCD FR Ie FH PRAT. AY BER BY 
以 适当 放宽 。 

extern int FLINT API add 1(CLINT, CLINT, CLINT); 

extern USHORT _ FLINT API DATA smallprimes|[ ]; 

VA Bei rt PAI S 

extern int _ FLINT API A div 1 (CLINT, CLINT, CLINT, CLINT); 
中 用 宏 定 义 的 C 函数 和 常量 : 

__ FLINT_API C 函数 的 修饰 符 


© H: ml /cx /c /Gd< filename> 。 
OQ 除了 DOsS 系 统 外 ,现代 计算 机 都 设置 了 虚拟 内 存 ， 所 以 读者 不 必 担 心 这 一 点 ， 尤 其 是 使 用 UNIX 或 Linux 
系统 的 用 户 。 


6 第 一 部 分 FRIK: ( 实现 


__ FLINT_API_A 汇编 函数 的 修饰 符 

FLINT_API DATA 常量 的 修饰 符 

这 些 宏 通 常 是 用 空 注释 /*x /来 定义 的 。 通 过 使 用 定义 好 的 宏 ， 可 以 对 程序 和 数据 使 
用 编译 器 和 链接 器 的 特殊 指令 。 若 使 用 汇编 模块 而 不 是 GNU 编译 项 gcc, WA FLINT_ 
API A 是 由 cdecl 定义 的 ， 并 且 有 些 编译 器 将 其 理解 为 调用 C 函数 名 对 应 的 汇编 程序 的 
指令 。 

在 Microsoft Visual C/C++ 下 ， 当 模块 需要 从 动态 链接 库 (DLL)5 引 用 FLINT/C 函数 
和 常量 时 ， 需 要 定义 宏 -D _ FLINT API= _ cdecl 和- D__ FLINT API DATA= _ 
declspec (dllimport)。 这 个 问题 在 flint.h 中 已 经 考虑 过 了 ， 并 且 定 义 了 宏 FLINT 
USEDLL 用 于 编译 。 在 其 他 的 开发 环境 中 需要 部 署 类 似 的 定义 。 

PKŠ FLINTInit 1 1() 处 理 FLINT/C DLL 初始 化 时 的 部 分 工作 ， 它 为 随机 数 生成 器 2 HE 
供 初 始 值 并 生成 一 系列 动态 寄存 上 希 ( 人 参见 第 9 章 )。 辅 助 图 数 FLINTExit 1() 用 来 释放 动态 
寄存 器 。 显 然 ， 初 始 化 过 程 并 不 是 由 每 个 使 用 DLL 的 进程 自己 完成 的 ， 而 是 在 DLL 首次 
被 调用 时 一 次 性 完成 的 。 通 党 ,一 个 沉 有 指定 创建 者 签名 和 调用 协定 的 程序 将 在 DLL 被 
法 载 到 运行 中 的 系统 时 目 动 执行 。 该 程序 将 接管 FLINT/C 初始 化 并 使 用 上 述 两 个 函数 ， 
即 FLINTInit 1() 和 FLINTExit 1()。 这 些 问 题 在 创建 DLL 时 都 需要 考虑 。 

针对 安全 性 要 求 比较 高 的 应 用 ， 该 软件 做 了 不 少 工作 。 为 此 ， 在 安全 模式 下 函数 中 的 
局 部 变量 ， 尤 其 是 CLINT 和 LINT 对 象 ， 在 使 用 后 将 用 全 零 覆 盖 的 方式 删除 。C 函数 中 也 
使 用 宏 PURGEVARS 工 () 和 关联 函数 purhevars 1 OKKA. C++ 函数 使 用 类 似 功 能 的 析 
构 函 数 一 LINT()。 汇 编 函 数 重 写 这 部 分 工作 内 存 。 参 数 变 量 删除 时 则 由 调用 孔 数 实现 其 
安全 的 删除 。 

变量 的 删除 需要 消耗 一 定 的 额外 时 间 ， 假 如 省 略 这 一 处 理 步 又 ,那么 必须 在 编译 时 定 
义 宏 FLINT UNSECURE。 在 运行 时 ， 函 数 char* verstr 1() 给 出 了 编译 时 的 模式 设置 信 
上 且 ， 字 母 “a” 表 示 汇 编 希 文 持 ,“s” 表 示 安 全 模式 。 奉 这 些 模式 是 打开 的 ， 那 么 该 模式 
设置 信息 将 以 字符 串 的 形式 输出 。 


使 用 该 软件 的 合法 条 件 

该 软件 仅 供 个 人 使 用 。 因 此 ， 软 件 的 使 用 、 修 改 和 分 发 需要 符合 以 下 条 件 : 

1) 不 得 修改 或 删除 版 权 标志 。 

2) 所 有 的 修改 必须 以 注释 行 的 方式 给 出 注释 。 任 何其 他 用 途 ， 尤 其 是 将 该 软件 用 作 
商业 用 途 ， 必 须 获 得 发 布 痢 或 作者 的 书面 许可 。 

我 们 已 经 尽 最 大 努力 编写 和 修改 了 该 软件 。 由 于 错误 总 是 难免 的 ， 所 以 不 管 出 于 何 种 
目的 ， 作 者 和 发 布 者 都 不 为 该 软件 使 用 过 程 中 由 于 软件 不 可 用 性 产生 的 直接 或 间接 影响 


SE 
YX DL o 


联系 作者 


我 们 很 乐意 收 到 任何 关于 书 中 错误 的 信息 或 其 他 任何 有 用 的 评论 和 意见 。 请 发 电子 邮 
件 至 cryptography@ welschenbach. com, 


O ”这 个 初始 值 是 从 系统 时 钟 中 获取 的 由 32 位 组 成 的 数 。 对 于 安全 性 要 求 较 高 的 应 用 ， 建 议 在 足够 大 空间 中 为 
随机 数 选取 合适 的 初始 值 。 
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数 的 格式 : C 中 大 数 的 表示 





我 设计 了 自己 的 大 数 书 写 系 统 ， 并 将 在 这 一 章 解释 它 。 
Isaac Asimov, Adding a Dimension) 





将 其 导向 一 种 更 高 组 织 形 式 的 过 程 ， 我 们 可 以 换 一 种 方式 实现 。 
一 一 7 Weber, K Forms, Motion, Color) 


创建 一 个 大 数 计算 函数 库 的 首要 步骤 之 一 是 确定 大 数 如 何在 计算 机 的 主 存储 器 中 表 
示 。 这 需要 小 心地 计划 ， 因 为 在 这 里 做 的 决定 很 难 在 后 面 修改 。 改 变 一 个 软件 库 的 内 部 结 
构 是 可 行 的 ,但 用 户 界 面 应 该 在 “向 上 兼容 性 ”的 意义 下 尽 可 能 保持 稳定 。 

有 必要 确定 要 处 理 的 数 的 量 级 以 及 编码 这 些 数值 的 数据 类 型 。 

Æ FLINT/C 库 中 ， 所 有 程序 的 基本 功能 是 处 理 远 超过 标准 数据 类 型 容量 的 几 百 位 数 
字 的 目 然 数 ， 因 此 我 们 需要 一 个 用 于 大 数 表达 和 操作 的 计算 机 存储 右 单 元 的 逻辑 顺序 。 对 
于 这 一 点 ， 有 人 可 能 会 设想 一 种 结构 ， 它 能 自动 创建 恰好 表达 数值 的 足够 空间 。 有 人 使 用 
动态 内 存 管理 的 方法 来 实现 这 种 经 济 的 结构 ， 这 种 方法 能 根据 大 数 在 算术 运算 中 的 需要 来 
分 配 或 释放 内 存 。 虽 然 这 可 以 实现 (例如 ，[Skal]), 但 内 存 管理 以 牺牲 计算 时 间 为 代价 ， 
因此 FLINT/C 包 中 的 整数 表示 选择 更 简单 的 定义 ， 即 静态 长 度 。 

为 了 表示 大 自然 数 ， 有 人 可 能 使 用 每 个 元 素 都 是 一 个 标准 数据 类 型 的 数组 。 出 于 效率 
考虑 ， 一 个 无 符号 数据 类 型 是 最 优 的 ， 因 为 存储 在 这 种 类 型 中 的 算术 运算 的 结果 与 最 大 的 
标准 C 数据 类 型 (参见 [Harb ]5. 1. 1 节 )unsigned long( 在 flint.h 中 定义 为 ULONG) 相 比 
没有 任何 损失 。 一 个 ULONG 变量 通常 恰好 可 以 表达 为 一 个 完整 的 CPU AATF. 

我 们 的 目标 是 将 对 大 数 的 运算 尽 可 能 直接 地 通过 编译 器 简化 为 CPU 寄存 器 算术 ， 这 
样 计算 机 就 能 “直接 ”计算 。 因 此 在 FLINT/C 包 中 ， 大 整数 表示 通过 unsigned short 
int( 等 同 于 USHORT) 类 型 完成 。 我 们 假设 USHORT 类 型 用 16 位 表示 ， 并 且 ULONG 类 型 可 
以 完全 接受 USHORT 类 型 算术 运算 的 结果 ， 即 满足 非 形式 化 公式 表示 的 大 小 关系 USHORT X 
USHORTS ULONG. 

Xt — SRE EY Be PE Ao e D W E A E B i a Aa et ISO 头 文件 Limits.h( 参 见 
[Harb]2.7.1 节 和 5.1 节 ) 判 断 。 例 如 ,在 GNU C/C++ 编译 器 文件 limits.h( 参 见 
[Dtlm |) 中 有 : 

#define UCHAR MAX OxffU 

#define USHRT MAX OxffffU 


#define UINT MAX OxffffffffU 
#define ULONG MAX OxffffffffUL 


人 们 应 该 注意 到 关于 数 的 二 进 制 表示 ， 实 际 上 只 有 3 种 不 同 的 大 小 。USHRT 类 型 (我 们 
符号 中 的 USHORT) 可 以 在 16 位 寄存 器 中 表示 ; ULONG 类 型 符合 一 个 32 位 寄存 器 CPU 的 字 
K. ULONG MAX 确定 了 以 标量 形式 表示 的 最 大 无 符号 整数 (参见 [ Harb] 第 110 页 )S 。 两 个 


O 没有 考虑 GNU C/C++ 和 某 些 其 他 C 编译 器 中 的 非 标准 类 型 unsigned long long. 
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USHRT 类 型 数 的 乘积 最 多 为 0xffff*0xffff= 0xfffe0001， 因 此 可 以 表示 为 一 个 ULONG 
类 型 ， 其 最 低 有 效 16 位 ， 在 我 们 的 例子 中 是 值 0x0001， 可 以 被 单独 地 类 型 转换 为 USHRT 
类 型 。FLINT/C 包 的 基本 算术 函数 的 实现 基于 上 面 讨论 的 USHORT 类 型 和 ULONG 类 型 之 
间 的 大 小 关系 。 

通过 类 似 的 方法 ,使 用 32 位 和 64 位 数据 类 型 来 实现 USHORT 和 ULONG， 将 可 以 降低 
KA 25%% 的 乘法 、 除 法 和 寡 运 算计 算 时 间 。 这 些 可 能 性 可 以 通过 直接 访问 乘法 和 除法 机 需 
指令 的 64 位 结果 的 汇编 函数 实现 ， 或 通过 允许 C 语言 实现 将 结果 无 损 地 存储 在 一 个 UL- 
ONG 类 型 寄存 器 的 具有 64 位 寄存 器 的 处 理 器 实现 中 。EFLINTVC 包 包 含 一 些 可 以 从 算术 汇 
编 函 数 中 快速 获得 结果 的 例子 ( 见 第 19 BE) 

下 一 个 问题 是 一 个 数组 中 USHORT 数字 的 顺序 。 我 们 可 以 想象 两 种 可 能 性 : 从 左 往 
在， 从 较 低 存储 器 地 址 到 较 高 存储 器 地 址 降序 排列 数字 ;或 者 相反 地 从 较 低 存储 器 地 址 到 
较 高 存储 上 顺 地 址 升序 排列 数字 。 后 一 种 排列 与 我 们 通 第 的 表达 方式 相反 ， 但 它 有 一 个 优 
点 ， 即 改变 常量 地 址 的 数 的 大 小 可 以 用 简单 的 分 配额 外 的 数字 代替 ， 而 不 用 在 存储 器 中 
重新 分 配 空 间 。 因 此 选择 很 明确 : 数值 表示 的 数字 随 着 存储 胡 地 址 或 数组 索引 的 增加 而 
增加 。 

作为 表示 长 度 的 附加 元 素 将 被 附加 并 存储 在 数组 的 第 一 个 元 素 中 。 因 此 ， 存 储 器 中 长 
数字 的 表示 格式 为 : 

n= (n n ha OXI<CLINTMAXDIGIT, OZ <B; i=1,*,/ 

其 中 B 表示 数值 表示 的 基数 。 对 于 FLINT/C 包 ， 有 B := 二 2” 二 65 536, B 的 值 将 从 这 里 一 
直 持 续 出 现 。 常 量 CLINTMAXDIGIT 表示 CLINT 对 象 的 最 大 数字 位 数 。 

零 通 过 长 度 1==0 表示 。 一 个 表示 为 FLINTVC 变量 n 1 的 数 的 值 n 可 以 如 下 计算 : 


rn 100] 


yim lB n ilol>o 
= i=] 


0 其 他 

如 果 nn 二 0， 则 以 B 为 基数 的 n 的 最 低 有 效 数 字 由 n_1[L1j] 给 出 ， 最 高 有 效 数字 由 n_1 
[n 1L0j]] 给 出 。n 1L0j 的 位 数 通 过 后 文中 的 宏 DIGITS L(n_ 1) 读 取 ， 并 通过 宏 SETDIG - 
ITS L(n 1,1) 设 置 为 1。 同样 ,访问 n 1 的 最 低 有 效 数 字 和 最 高 有 效 数 字 将 传递 给 
LSDPTR L(n 1) 和 MSDPTR L(n 1)， 它们 返回 数字 的 指针 。 使 用 定义 在 flint.h 中 的 宏 
与 实际 数 的 表示 是 独立 的 。 

由 于 我 们 对 自然 数 没 有 符号 的 需要 ， 所 以 我 们 现在 已 经 拥有 表达 这 类 数 的 全 部 要 素 。 
我 们 通过 下 面 的 方式 定义 相应 的 数据 类 型 . 


typedef unsigned short clint; 
typedef clint CLINT[CLINTMAXDIGIT + 1]; 


相应 地 ， 声 明 一 个 大 数 的 方式 是 : 

CLINT n l; 

CLINT 类 型 函数 参数 的 声明 可 以 按照 函数 关中 的 指令 CLINT n 1°, —~% CLINT 对 象 
的 指针 myptr_1 的 定义 出 现在 CLINTPTR myptr 1 或 clint *myptr 1 中。 

FLINT/C 函数 可 以 根据 flint.h 中 的 常量 CLINTMAXDIGIT 的 设置 处 理 4096 位 长 的 


日 ”就 这 一 点 而 言 ， 可 以 比较 [Lindj 的 第 4 章 和 第 9 章 ， 其 中 详细 解释 了 C 中 数组 和 指针 何 时 等 价 ， 当 不 等 价 
时 ， 会 产生 什么 错误 类 型 。 
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数 ， 即 1233 位 十 进 制 数 或 256 位 以 2” 为 基数 的 数 。 通 过 改变 CLINTMAXDIGIT, RAKE 
可 以 调整 到 所 需要 的 值 。 其 他 常量 的 定义 依赖 于 这 个 参数 。 例 如 ， 一 个 CLINT 对 象 中 
USHORT 的 个 数 通过 以 下 方式 指定 : 


#define CLINTMAXSHORT CLINTMAXDIGIT + 1 
可 以 处 理 的 二 进 制 的 最 大 位 数 通过 以 下 方式 定义 : 

#define CLINTMAXBIT CLINTMAXDIGIT << 4 

虽然 常量 CLINTMAXDIGIT 和 CLINTMAXBIT 被 频繁 地 使 用 ,但 这 种 写法 在 印刷 上 很 第 
iio AERIDES MAX, 和 MAX, (除了 程序 代码 中 ， 这 里 常量 表示 依然 用 其 本 来 形 
式 ) 来 表达 这 些 常量 ，。 

根据 这 一 定义 ，CLINT 对 象 可 以 假定 为 区 间 L0，BrAx 一 1 或 [0，2M% 一 1] 内 的 整数 
值 。 我 们 通过 Nu。 表示 一 个 CLINT 对 象 可 以 表示 的 最 大 自然 数 BM 一 1 一 2MAx 一 1。 

有 些 函 数 需 要 处 理 比 一 个 CLINT 对 象 能 容纳 更 多 位 数 的 数 。 对 这 些 情况 ，cLINT 类 型 
的 变型 被 定义 为 

typedef unsigned short CLINTD[1+(CLINTMAXDIGIT<<1) ]; 


和 


typedef unsigned short CLINTQ[1+(CLINTMAXDIGIT<<2) ] ; 
它们 可 以 表示 此 之 前 两 倍 和 四 倍 位 数 的 数 。 

为 了 帮助 编程 实现 ， 模 块 flint.c 定 义 了 常量 nul 1、one 1 和 two _ 1， 分别 用 
CLINT 格式 表示 数字 0、1 和 2; 并 且 在 flint.n 中 有 相应 的 宏 SETZERO L() 、SETONE L() il 
SETTWO 工 ()， 可 以 设置 CLINT 对 象 为 相应 的 值 。 
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洁 人 们 听 到 一 些 词 汇 时 ,他们 通常 相信 这 背后 有 一 些 别 的 合 尺 。 
—Goethe, K Faust) Part | 


接 下 来 ,我 们 将 设置 一 些 关 于 接口 行为 和 FLINT/C 函数 使 用 的 基本 属性 。 首 先 我 们 
考虑 CLINT 对 象 和 FLINT/C 函数 的 文本 表示 ， 但 我 们 首先 需要 和 弄 清 楚 一 些 对 使 用 函数 十 
分 重要 的 实现 基础 。 

我 们 约定 FLINT/C 包 中 的 函数 名 以 “ 1” 作 为 结尾 。 例 如 ，aada_1 表示 加 法 函数 。 
CLINT 对 象 标识 符 同 样 以 一 个 下 划 线 和 1 作为 结束 。 为 简单 起 见 ， 从 现在 起 ， 当 条 件 许可 
时 ， 一 个 CLINT 对 象 n 1 等 同 于 它 表 示 的 值 。 

一 个 FLINT/C 函数 的 表示 以 一 个 包含 针对 该 函数 接口 的 语法 和 语义 描述 的 头 部 开始 。 
通常 函数 头 部 如 下 所 示 。 


: 函数 的 简短 描述 
s int oe | (CLINT al, CLINT Bb i, CLINT & 1}; 
sal, b 1( 操 作 数 ) 


: c 1( 结 果 ) 
一 个 警告 或 错误 消息 ， 否 则 





这 里 我 们 区 分 输出 和 返回 值 : 输出 是 指 存储 在 函数 传递 参数 中 的 值 ; 返回 是 指 通 过 
return 命令 函数 返回 的 值 。 除 了 少数 情况 外 (例如 ，10.3 节 中 1q_1() 函 数 ，10.4.1 节 中 
twofact 1() 博 数 )， 返 回 值 由 状态 信息 或 错误 消息 组 成 。 

除了 用 于 输出 的 参数 外 ， 其 余 参 数 都 不 会 被 函数 改变 。 形 如 f l(a l,b l,a 1) 的 调 
用 是 允许 的 ， 其 中 a 1 和 b 1 为 参数 ，a 1 在 计算 的 最 后 被 返回 值 覆 盖 ， 因 为 返回 变量 仅 
当 操 作 完 全 执行 后 才 被 赋予 返回 值 。 从 汇编 程序 的 角度 ， 我 们 说 在 这 种 情况 下 ，a 1 作为 
系 加 器 。 这 种 程序 方法 被 所 有 FLINT/C 函数 支持 。 

看 一 外 值 1 有 

(DIGITS L (n_1) == 1) && (1 > 0) && (n_1[1] == 0); 

时 ， 我 们 说 一 个 CLINT 对 象 n_ 1 持 有 前 导 零 。 前 导 零 是 宛 余 的 ， 因 为 虽然 它 增加 了 一 个 数 
的 表示 长 度 ， 但 对 其 值 没 有 任何 影响 。 不 管 怎样 ， 前 导 零 在 数 的 符号 表示 中 是 允许 的 ， 因 
此 我 们 不 能 简单 地 忽略 它 。 使 用 前 导 零 当然 会 导致 一 些 繁琐 的 实现 细节 ， 但 是 它 增 加 了 对 
外 部 源 输入 的 容忍 度 ， 所 以 提升 了 所 有 函数 的 稳定 性 。 因 此 ， 有 前 导 零 的 CLINT 数 被 所 有 
FLINT/C 负数 支持 ,但 不 由 它们 产生 ，。 

为 一 个 设置 与 在 上 溢 情 况 下 的 算术 函数 的 行为 相关 ， 当 算术 运算 的 结果 大 于 其 类 型 所 
能 表示 的 最 大 值 时 ， 将 发 生 上 洲 。 尽 管 在 某 些 C 的 出 版 物 中 指出 ， 在 算术 上 溢 的 情况 下 程 
序 行为 与 实现 有 关 ， 但 是 C 标准 精确 地 给 出 了 无 符号 整数 类 型 在 算术 运算 上 溢 情 况 下 的 操 


G$3F Hower 1] 


VE: 在 数据 类 型 相当 于 nn 位 长 的 整数 时 ， 应 执行 模 2” 运算 (参见 LHarbj5. 1.2 47). At, 
当 之 后 描述 的 基本 算术 孔 数 出 现 上 溢 的 情况 时 ， 将 对 它们 的 结果 通过 模 (N, 十 1) 约 人 简 ， 
这 意味 着 整数 除 以 Ns 十 1 的 余数 将 作为 结果 输出 (参见 4.3 AS 5 E), Æ F iat TO 
下 ， 即 在 操作 结果 为 负数 时 出 现 ， 输 出 一 个 模 ( 和 NN 十 1) 的 正 余 数 。 因 此 ，FLINT/C 函数 
的 算术 行为 与 C 标准 一 致 。 

如 果 检 测 到 一 个 上 溢 或 下 洲 ， 算 术 函 数 会 返回 合适 的 错误 代码 。 这 些 错误 代码 以 及 表 
3-1 中 的 其 他 错误 代码 定义 在 头 文件 flint.h 中 。 

表 3-1 FLINT/C 错误 代码 


错误 代码 说 明 
E CLINT BOR str2clint _1() 中 的 无 效 基数 (参见 第 8 章 ) 
E CLINT DBZ 除数 为 零 
E CLINT MAL 内 存 分 配 错误 
E CLINT MOD Montgomery 乘法 中 的 非 奇 数 (偶数 ) 模 
E CLINT NOR 寄存 器 不 可 用 (参见 第 9 章 ) 
E CLINT NPT 空 指针 作为 参数 传递 
E CLINT OFL Fii 


E CLINT UFL Fii 
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计算 是 一 切 技术 的 根基 。 
—— Adam Ries: K Book of Calculation) 


你 ， 可 怜 的 东西 ， 你 毫 无 用 处 。 看 看 我 ， 人 人 都 需要 。 
~Aesop, (The Fir and the Blackberry Bush) 


FRL-PALFRSAKRBRHE—-PRAAOBFRA, WEAR AMHR 
i A eT ob KR. 
-Arthur Benjamins Michael B Shermer, K Mathemagics) 


任何 用 于 计算 机 计算 的 软件 包 的 基础 构件 都 是 能 执行 加 法 、 减 法 、 乘 法 和 除法 基本 
运算 的 孔 数 。 整 个 软件 包 的 效率 取决 于 最 后 两 个 运算 ， 因此 ,在 选择 和 实现 相关 算法 
时 ， 需 格外 小 心 。 和 幸运 的 是 ，Donald Knuth 的 经 典 之 作 《 The Art of Computer Program- 
ming》 的 第 2 卷 5 包 含 了 我 们 为 编写 FLINTVC 函数 的 这 一 部 分 所 需要 的 绝 大 部 分 参考 
资料 。 

为 了 便于 表述 ， 接 下 来 的 小 节 中 使 用 运算 cpy 1 () 表 示 将 一 个 CLINT 对 象 复制 到 另 一 
个 CLINT 类 型 对 象 中 ， 使 用 运算 cmp 1 () 表 示 对 两 个 CLINT 类 型 的 值 进 行 比较 。 更 确切 
的 叙述 参见 7. 4 节 和 第 8 章 。 

为 了 清楚 起 见 ， 在 这 一 章 提 到 的 基本 算术 运算 函数 都 是 作为 一 个 整体 开发 的 。 在 第 
5 章 中 ， 我 们 将 从 其 中 一 些 函 数 中 分 离 出 “核心 的 ”运算 ,并 在 这 些 运 算 中 加 入 额外 的 
步骤 ， 如 消除 前 导 零 、 处 理 上 洲 和 下 洲 等 ,使 语法 和 语义 功能 保持 完整 ， 以 增强 实用 
性 。 这 些 内 容 与 理解 本 章 描 述 的 内 容 无 关 ， 因 此 我 们 可 以 暂时 忘掉 这 些 更 困难 的 
问题 。 


4.1 加 法 和 减法 


mA “LIUR” AERA, “PAn MLER”, Hild ii g A 
整数 叫做 “加 法 的 结果 ”或 者 “7 加 Pen, bf”, ah ntn, 
~~~ Leopold Kronecker, (On the Idea of Number) 


加 法 和 减法 在 本 质 上 是 带 有 不 同 符号 的 相同 运算 ， 其 基本 算法 是 相同 的 ， 我 们 可 以 将 
它们 放 在 这 一 节 一 起 讨论 。 考 虑 有 如 下 表达 形式 的 操作 数 a Mb: 


nr | 
a = (An-1Qm—-2°" Ao) 2 = a Osa <B 


O 此 书 英文 版 4 计算 机 程序 设计 艺术 第 2 卷 半数 值 算 法 》 已 由 机 械 工业 出 版 社 引 进出 版 ， 书 号 是 978-7- 
111-28718-5. 编辑 注 


n—l 
b t= (6.76.2 fon = >B ) =. 6, <= B 


这 里 假定 a 三 56。 对 于 加 法 可 以 没有 这 个 限制 条 件 ， 因 为 我 们 总 是 可 以 通过 交换 两 个 加 数 来 
实现 上 述 条 件 。 对 于 减法 ， 这 个 条 件 意味 着 结果 是 正 数 或 零 ， 因 此 可 以 将 其 描述 为 一 个 没 
有 通过 模 (N,,, 十 1) 约 简 的 CLINT WR. 

加 法 基本 上 由 以 下 步骤 组 成 。 


加 法 a+b 的 算法 

1) 设置 140 和 ceo, 

2) 设置 tea; tb;tc, st mod B; c| t/B]. 
3) 设置 i<-i 十 1; 如 果 i 过 n 一 1]， 跳 转 到 步骤 2。 


4) 设置 t<«a,+c, sst mod B, c<|t/B]. 
5) 设置 i<-i 十 1; 如 果 i<m—1, wees aH RA, 
6) KWE stc, 


7) 输 出 E= (SS 1°** So) Bo 





在 第 2 步 中 ， 两 个 加 数 相 对 应 的 某 一 位 与 上 一 轮 加 法 的 进位 相 加 ， 较 低 有 效 部 分 存储 
为 和 的 一 个 数位 ， 较 高 有 效 部 分 将 进位 到 下 一 位 。 在 步骤 4 中 ， 如 果 其 中 一 个 加 数 的 所 有 
数位 已 经 加 完 ， 则 将 另 一 个 加 数 剩 下 的 所 有 数位 相继 地 加 上 所 有 剩 下 的 进位 。 一 直 处 理 到 
最 后 的 位 ， 较 低 有 效 部 分 存储 为 和 的 一 个 数位 ， 较 高 有 效 部 分 进 到 下 一 位 。 最 后 ， 如 果 科 
下 了 一 个 进位 ， 则 将 它 存储 在 和 的 最 高 有 效 位 。 如 果 它 的 值 为 零 ， 那 么 这 一 位 将 不 会 
输出 。 

在 减法 、 乘 法 和 除法 中 ,， 算 法 的 步骤 2 和 步骤 4 也 以 相似 的 形式 呈现 。 下 面 一 行 中 的 
相关 代码 在 算术 函数 是 十 分 典型 的 ” : 

s = (USHORT)(carry = (ULONG)a + (ULONG)b + (ULONG)(USHORT)(carry >> BITPERDGT)); 

在 加 法 算法 中 出 现 的 中 间 值 上 由 ULONG 类 型 的 变量 carry 表示 ，carry 存储 了 数位 
ais bi 以 及 前 一 步 运算 的 进位 的 和 。 新 的 和 的 数位 s; 存储 在 carry 的 较 低 有 效 部 分 ， 它 通 
过 显 式 地 转换 为 USHORT 类 型 得 到 。 本 次 运算 的 进位 存储 在 carry 的 较 高 有 效 部 分 ， 并 用 
于 下 一 次 运算 。 

函数 add 1 () 实 现 这 一 算法 ， 并 处 理 可 能 出 现 的 和 的 上 洲 问 题 ， 当 这 种 情况 发 生 时 ， 
将 执行 对 和 的 模 (N 十 1) 约 简 。 


: 加 法 
: THe add 1 (CLINT al, CLINT b 1, CLINT S L) = 
2 & dl, b 1( 加 数 ) 


: s 1( 和 ) 
: E CLINT OK， 如 果 成 功 
E CLINT OFL. 47 RL itt 








O 这 种 压缩 的 C 语言 表达 式 是 由 我 的 同事 Robert Hammelrath( 罗 伯 特 。 哈 梅 尔 斯 贝克 ) 发 明 的 。 
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int 
add 1 (CLINT a 1, CLINT b 1, CLINT s 1) 
{ 
clint ss_1[CLINTMAXSHORT + 1]; 
clint *msdptra_1, *msdptrb 1; 
clint *aptr 1]; *bptr_1, *sptr_1 = LSDPTR_L (ss 1); 
ULONG carry = OL; 
int OFL = E CLINT OK; 
设置 加 法 循环 的 指针 。 它 检查 两 个 加 数 谁 的 位 数 更 多 。 指 针 aptr 1 和 msdaptr 1 在 
初始 化 时 分 别 指 向 位 数 较 多 的 加 数 的 最 低 有 效 位 和 最 高 有 效 位 ， 若 位 数 相 同 ， 则 分 别 指 向 
a 1 的 最 低 有 效 位 和 最 高 有 效 人 位。 指针 bptr 1 和 msdbptr 1 与 之 类 似 ， 它 们 分 别 指向 位 
数 较 少 的 加 数 或 者 b 1 的 最 低 有 效 位 和 最 高 有 效 位 。 宏 LSDPTR 工 () 返 回 CLINT 对 象 的 最 
低 有 效 位 的 指针 ， 宏 MSDPTR L() 返 回 最 高 有 效 位 的 指针 ， 初 始 化 在 两 者 的 帮助 下 进行 。 
% DIGITS L (a 1) 获得 CLINT 对 畸 a 1 的 位 数 ， 宏 SETDIGITS L(a l, n) 表 示 将 a 1 的 
位 数 设 置 成 n 的 值 。 
if (DIGITS L (a 1) < DIGITS L (b 1)) 
{ 
aptr 1 = LSDPTR L (b 1); 
bptr 1 = LSDPTR L (a 1); 
msdptra 1 = MSDPTR L (b 1); 
msdptrb 1 = MSDPTR L (a 1); 
SETDIGITS L (ss 1, DIGITS L (b 1)); 
} 


else 


aptr 1 = LSDPTR L (a 1); 
bptx 1 = LSDPTR L (b 1); 
msdptra 1 = MSDPTR_L (a 1); 
msdptrb 1 = MSDPTR L (b 1); 
SETDIGITS L (ss 1, DIGITS L (a 1)); 
} 
在 add 1 的 第 一 个 循环 中 ，a 1 和 b 1 的 数值 相 加 并 存储 在 结果 变量 ss 1 中 。 前 导 
零 不 会 引起 任何 问题 ， 它 们 仅 在 计算 中 简单 地 表示 在 数值 的 高 位 ， 并 在 结果 复制 给 s 1 时 
被 消除 。 整 个 循环 从 b 1 的 最 低 有 效 位 进行 到 其 最 高 有 效 位 。 这 个 过 程 与 我 们 在 学 校 学 习 
到 的 笔算 过 程 完 全 一 致 。 正 如 之 前 所 说 ， 这 里 展示 的 是 进位 的 实现 方式 。 
while (bptr 1 <= msdptrb 1) 
a = (USHORT) (carry = (ULONG)*aptr 1++ 
+ (ULONG)*bptr_1++ + (ULONG)(USHORT)(carry >> BITPERDGT)); 
} 
两 个 USHORT 类 型 的 值 *aptr 和 *bptr 被 显 式 转 换 为 ULONG 表示 并 相 加 。 随 后 ， 与 上 
一 次 迁 代 的 进位 相 加 。 计 算 结 果 是 一 个 ULONG 类 型 的 值 ， 其 高 位 字 存 储 加 法 运算 的 进位 。 
这 个 值 存储 到 变量 carry 中 ， 将 保留 给 下 一 次 迭代 。 结 果 数 位 的 值 取 自 carry 的 低位 字 ， 
它 通 过 将 carry 显 式 地 转换 为 USHORT 类 型 的 值 获 得 。 存 储 在 carry 的 高 位 字 中 的 进位 通 
过 右 移 BITPERDGT 位 并 显 式 地 转换 为 USHORT 类 型 后 ,成 为 下 一 次 迭代 的 输入 。 
在 第 二 次 循环 中 ， 只 有 a 1 的 剩余 数位 与 可 能 存在 的 进位 相 加 ， 并 存储 在 s 1 中。 





while (aptr 1 <= msdptra_ 1) 
{ 
*sptr_1++ = (USHORT)(carry = (ULONG)*aptr_1++ 
+ (ULONG) (USHORT) (carry >> BITPERDGT)); 

} 

第 二 个 循环 结束 后 ， 如 果 存 在 进位 ， 则 结果 将 比 a 1 多 一 位 。 如 果 确 定 结果 超出 了 
CLINT 类 型 最 大 值 Nus 所 能 表示 的 范围 ， 那 么 结果 将 进行 模 (Nus 十 1) 约 简 ( 参 见 第 5 章 )， 
对 于 标准 的 无 符号 类 型 的 处 理 办 法 与 之 类 似 。 在 这 种 情况 下 ， 将 返回 错误 状态 消息 王 _ 
CLINT OFL, 

if (carry & BASE) 


{ 
eptr = 1; 
SETDIGITS L {ss 1, DIGITS L (ss 1) + 1); 
} 
if (DIGITS L (ss 1) > (USHORT)CLINTMAXDIGIT) /* overflow? */ 
{ 
ANDMAX_L (ss_1); /* reduce modulo (Nmax + 1) */ 
OFL = E CLINT OFL; 
} 


cpy 1 (s 1, ss 1); 


return OFL; 


} 

这 里 给 出 的 所 有 加 法 和 减法 程序 的 运行 时 间 复 杂 度 :二 O(n)， 因 此 与 两 个 操作 数 的 位 
数 成 正比 。 

既然 我 们 已 经 了 解 了 加 法 ， 接 下 来 我 们 将 介绍 以 基数 B 表示 的 两 个 数 a Alb 的 减法 运算 : 


二 二 (am 1a» 2 "CQ0 )8 se b = COn- 6, 2°**byo) 


减法 a 一 b 的 算法 

1) 设置 1:40 f cel, 

2) 如 0 果 c=l1, KE t~Bt+ea;—b; Eu, RA t- B—lta: bi 
3) 设置 d;t mod B, c<[t/B]. 

4) 设置 ix itl; 如 果 i 二 n 一 1]， 跳 转 到 步骤 2), 


5) 如 果 c 二 1]， 设 置 tf<-B 十 a;; GM, KRHt~B—1+4,. 
6) 设置 d,<t mod B, c<«|t/B]. 

7) RE ixit+l; 如 果 i 委 人 一 1， 跳 转 到 步骤 5)。 

8) Hrih d= ld idua daga 





除了 下 述 例外 ， 减 法 与 加 法 的 实现 完全 一 致 : 

o 如 果 被 减 数 的 某 一 数位 的 值 小 于 相应 的 减 数 的 数位 的 值 ， 则 ULONG 类 型 的 变量 
carxry 用 于 回 被 减 数 的 相 邻 高 位 “ 借 位 ”。 

o 我 们 需要 警惕 下 溢 而 不 是 上 洲 ， 即 减法 结果 为 负数 。 由 于 CLINT 是 一 个 无 符号 类 
型 ， 所 以 我 们 将 进行 模 (Ni 十 1) 约 简 ( 参 见 第 5 章 )。 了 函数 将 返回 错误 代码 EE_ 
CLINT_UFL 来 表示 这 种 情况 。 
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o 最 后 ， 将 所 有 存在 的 前 导 堆 消除。 
因此 ， 我 们 得 到 下 列 函 数 ， 表 示 CLINT 类 型 的 数 a 1 减 去 b_ 1。 


功能 : 减法 
WiK: int sub 1 (CLINT aa 1, CLINT bb 1, CLINT d 1); 
输入 : aa IRRA), bb 1( 减 数 ) 
输出 : Q 1( 差 ) 
返回 : E CLINT OK， 如 果 成 功 
E CLINT UFL, wÑ F 





int 
sub 1 (CLINT aa 1, CLINT bb 1, CLINT d 1) 
{ 

CLINT b l; 

clint a 1[CLINTMAXSHORT + 1]; /* allow 1 additional digit in a 1 */ 
clint *msdptra 1, *msdptrb 1; 

clint *aptr 1 = LSDPTR_L (a 1); 

clint *bptr 1 = LSDPTR L (b_1); 

clint *dptr 1 = LSDPTR L (d_1); 

ULONG carry = OL; 

int UFL = E CLINT OK; 


cpy 1 (a 1, aa 1); 

cpy_1 (b 1 bb T}; 

msdptra_1 = MSDPTR_L (a 1); 

msdptrb_1 = MSDPTR_L (b 1); 

下 面 考 虑 了 a_ 1<b 1 的 情况 ， 此 时 ,将 不 是 a 1 减 去 b 1. 而 是 用 最 大 的 值 Nma 
去 b 1。 然 后 ，( 被 减 数 十 1) 的 值 加 上 这 个 差 ， 即 执行 了 模 (Nii 十 1) 的 运算 。 为 产生 值 
Nu， 我 们 使 用 辅助 函数 setmax 1 ()。 

if {LT L fal, b IJ) 

{ 

setmax 1 (a 1); 

msdptra 1 = a 1 + CLINTMAXDIGIT; 
SETDIGITS L (d 1, CLINTMAXDIGIT); 
UFL = E CLINT UFL; 

} else 

{ 

SETDIGITS L (d 1, DIGITS L (a 1)); 

} 

while (bptr_1 <= msdptrb 1) 

{ 

*dptr_1l++ = (USHORT)(carry = (ULONG)*aptr 1++ 
- (ULONG)*bptr_l++ - ((carry & BASE) >> BITPERDGT)); 


} 
while (aptr_1 <= msdptra 1) 


{ 
*dptr_l++ = (USHORT)(carry = (ULONG)*aptr 1++ 


- ((carry & BASE) >> BITPERDGT)); 
} 
RMLDZRS L (d 1); 
在 输出 d 1 之 前 ， 需 要 先 执 行 Na 一 b 1， 并 把 差 存储 在 d 1 中， 然后 执行 (被 减 数 
十 1) 与 QI 中 存储 值 的 加 法 。 
if (UFL) 
{ 
add 1 (d 1, aa 1, d 1); 
inc 1 (d 1); 
} 
return UFL; 
} 
be T PKA add 1() 和 sub 1() 以 外 ， 我 们 还 实现 了 两 个 计算 加 法 和 减法 的 特殊 函数 ， 
它们 的 第 二 个 参数 用 USHORT 类 型 替换 了 cLINT 类 型 。 它 们 称 为 混合 函数 ， 并 通过 在 其 函 
数 名 中 加 入 前 级 “u” 来 识别 ， 如 之 后 介绍 的 函数 uadd 1() 和 usub 1()。 将 USHORT 类 型 
的 值 转换 为 一 个 CLINT 对 象 的 函数 u2clint 1 () 将 在 第 8 章 进行 讨论 。 


功能 : 一 个 CLINT 类 型 数 和 一 个 USHORT 类 型 数 的 混合 加 法 
Wik: int uadd_1(CLINTa_1,USHORTb,CLINT s 1); 
输入 : 二 b( 加 数 ) 


输出 : s_1( 和 ) 
返回 : E CLINT OK， 如 果 成 功 
E CLINT OFL, wA Lm 





int 
uadd 1 (CLINT a 1, USHORT b, CLINT s 1) 
{ 

int err; 

CLINT tmp 1; 

u2clint_1 (tmp l, b); 

err = add 1 (a 1, tmp 1l, s 1); 

return err; 


功能 ; 一 个 CLINT 类 型 数 减 去 一 个 USHORT 类 型 数 的 减法 
语法 : int usub 1(CLINTa 1,USHORTb,CLINT d 1); 
输入 : a_1( 被 减 数 ) DC RA) 


输出 : Q 1(2z) 
返回 : E CLINT OK, wR RH 
E CLINT UFL, WA F ii 





int 
usub 1 (CLINT a 1, USHORT b, CLINT d 1) 
{ 
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int err; 

CLINT tmp 1; u2clint 1 (tmp 1, b); 

err = sub 1 (a 1, tmp 1, d 1); 

return err; 

} 

我 们 在 inc 1 OM dec 11() 函 数 中 实现 了 加 法 和 减法 的 两 个 更 加 有 用 的 特殊 算法 ， 写 
们 实现 对 CLINT 类 型 的 值 增 加 或 者 减少 1。 这 些 函 数 被 作为 累加 器 例 程 : 操作 数 会 被 返回 
值 覆 盖 ， 许 多 其 他 算法 的 实现 都 要 用 到 它 ， 从 而 证 明了 其 实用 性 。 

inc 1() 和 dec 1() 的 实现 与 add 1() 和 sub 1() 的 实现 非常 相似 。 它 们 分 别 检 查 上 
溢 或 者 下 洲 ， 并 返回 相应 的 错误 代码 E_CLINT OFL 和 E CLINT UFL。 


: 使 一 个 CLINT 类 型 数 增 加 ] 
i int ine 1 (CLINT a 1); 
: a 1( 被 加 数 ) 


a 1( 和 ) 
: E CLINT OK， 如 果 成 功 
E CLINT OFL, w R Eğ 





int 

inc 1 (CLINT a 1) 

{ 

clint *msdptra 1, *aptr_1 = LSDPTR L (a 1); 
ULONG carry = BASE; 

int OFL = E CLINT OK; 

msdptra 1 = MSDPTR_L (a 1); 

while ((aptr_1 <= msdptra 1) && (carry & BASE)) 


{ 
*aptr 1 = (USHORT)(carry = 1UL + (ULONG)*aptr 1); 
aptr_1++; 
} 
if ((aptr_1 > msdptra 1) && (carry & BASE)) 
{ 
*aptr_ l = 1; 


SETDIGITS L {a 1, DIGITS 上 (a 1) + 1); 

if (DIGITS L (a 1) > (USHORT) CLINTMAXDIGIT) /* overflow ? */ 
{ 
SETZERO L (a_1); /* reduce modulo (Nmax + 1) */ 
OFL = E CLINT_OFL; 
} 

} 

return OFL; 


} 


功能 : 使 一 个 CLINT 类 型 数 减少 ] 


Wik: int dec 1 (CLINT a 1); 
输入 : a 1( 被 减 数 ) 





输出 : a 1(Z) 


返回 : E CLINT OK， 如 果 成 功 
E CLINT UFL, te R F ž 





int 
dec 1 (CLINT a 1) 
{ 
clint *msdptra 1, *aptr_1 = LSDPTR_L (a 1); 
ULONG carry = DBASEMINONE; 
if (EQZ L (a 1)) /* underflow ? */ 
{ 
setmax 1 (a 1); /* reduce modulo max 1 */ 
return E CLINT UFL; 
} | 
msdptra_ 1 = MSDPTR L (a 1); 
while ((aptr 1 <= msdptra 1) && (carry & (BASEMINONEL << BITPERDGT))) 
{ 
*aptr_1 = (USHORT)(carry = (ULONG)*aptr 1 - 1L); 
aptr 1++; 
} 
RMLDZRS L (a 1); 
return E CLINT OK; 
} 


4.2 乘法 


db RA MB n, n, ng, ee ，71, 都 等 于 同一 个 数 n， 那么 把 这 个 加 法 叫 
k “#R#BnKlkr 的 乘法 ”， ny tmt+n,t+--t+n,=rn, 
~~~ Leopold Kronecker, K On the Idea of Number) 


乘法 是 整个 FLINTVC 包 中 最 重要 的 函数 之 一 ， 因 为 它 与 除法 执行 所 需要 的 计算 时 间 
一 起 决定 了 很 多 算法 的 执行 时 间 。 与 我 们 至 今 为 止 所 学 习 的 加 法 和 减法 的 经 验 相 比 ， 乘 法 
和 除法 的 经 典 算 法 的 执行 时 间 与 其 参数 位 数 呈 二 次 指数 关系 。 这 肯定 是 有 原因 的 ， 不 然 
Donald Knuth 怎么 会 在 他 的 某 一 章 的 开头 写 上 :“ 乘 法 能 有 多 快 ??” 

文献 中 已 经 发 表 了 各 种 关于 快速 计算 大 整数 或 者 超大 整数 乘法 的 程序 ， 有 些 使 用 了 相 
当 困 难 的 方法 。 其 中 一 个 例子 是 由 A. Schonhage 和 V. Strassen 为 大 整数 乘法 开发 的 程序 ， 
它 应 用 了 有 限 域 上 的 快速 傅 里 叶 变 换 。 位 数 为 的 参数 的 运行 时 间 以 O(n log n log log n) 
为 上 界 (参见 [Knutj4. 4. 3 节 )。 这 个 方法 包含 了 所 知 的 最 快 的 乘法 算法 ， 但 是 它 与 传统 的 
On’ ) 方 法 相 比 ， 只 有 当 二 进 制 数字 的 位 数 为 8000 一 10 000 时 才 有 优势 。 基 于 加 密 系统 的 
需求 ， 这 个 数字 至 少 现在 看 来 是 远 远 超过 了 滑 数 假设 的 应 用 域 范围 。 

为 了 实现 FLINT/C 库 中 的 乘法 ， 我们 首先 用 基于 Knuth( 参 见 [Knut]4. 3. 1 节 ) 给 出 
的 “算法 M” 的 小 学 方法 作为 基础 ， 我 们 可 以 先 将 这 个 程序 的 实现 做 得 尽 可 能 高 效 。 然 
后 ， 我 们 将 详细 地 研究 平方 的 计算 ， 这 个 过 程 有 很 大 的 提升 潜力 。 最 后 ， 我 们 可 以 看 一 看 
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Karatsuba 乘法 算法 ， 该 算法 比 OG ) 渐 进 变 好 。Karatsuba 乘法 算法 唤起 了 我 们 的 好 奇 
心 ， 因 为 它 看 起 来 简单 ,任何 人 都 可 以 花 一 个 星期 天 的 下 午 ( 最 好 是 下 雨天 ) 愉 快 地 尝试 
它 。 我 们 应 该 看 一 看 这 个 程序 对 FLINT/C 库 有 什么 贡献 ，。 


4.2.1 小 学 乘法 方法 
考虑 如 下 以 B 为 基数 表示 的 操作 数 a Al: 


m—| 
A= (äni na *" ao), = SaB ENT E 


n—| 
b = (hyö ba = 16 B* Ob <B 


根据 我 们 在 和 学校 学 习 的 过 程 ， 当 m=n=3 Hf, RE ab 可 以 如 图 4-1 所 示 的 那样 计算 。 
首先 对 于 17 一 0、1、2 计算 部 分 积 

(azđ1đo)p * b;: 1H aib; 是 (内 积 wo; 十 进位 ) 的 

最 低 有 效 位 ，c 是 Po, 的 最 高 有 效 位 。 最 终 所 

有 部 分 积 相 加 得 到 积 p= (ps Pi Ps P2 Pi) bo 
通常 情况 下 ， 积 p=ab 有 值 


(asaiao) g * (bsbibo)s 


C20 Pr 





n-i m-l 
p= J > ab Bt 图 4-1 乘法 运算 


位 数 为 m 和 nn 的 两 个 操作 数 的 乘法 结果 至 少 为 mx 十 n 一 1 位 ， 至 多 为 m 十 n 位 。 需 进行 的 基 
本 乘法 步骤 数 ( 即 乘 以 比 基 数 B 小 的 因子 的 次 数 ) 为 mn 次 。 
严格 遵循 上 述 模式 的 乘法 函数 首先 需要 计算 所 有 的 部 分 和 ， 存储 这 些 值 ， 然 后 将 它们 
给 出 合适 的 缩放 因子 。 这 种 小 学 学 习 的 方法 很 适合 手 算 ， 然而 对 于 计算 机 程序 ， 这 种 方法 
就 显得 麻烦 了 。 一 种 更 高 效 的 蔡 代 算法 在 计算 内 积 ab; 后 立即 与 最 终结 果 的 第 i 十 7 位 数 
pi4; 相 加 ， 再 与 在 上 一 步骤 得 到 的 进位 c 相 加 。 将 每 次 运算 (i， 门 的 结果 赋值 给 变量 t: 
t<— pi; tab; +c 
其 中 上 也 可 以 表示 为 
t= B+ OS ksd B 
然后 ， 我 们 有 
bas tad; toe B— 1448 +1)(8—D) 4+ B—-—1= t8—-Db+B—1= 1 < Be 
根据 t 的 表达 式 ， 当 前 结果 值 赋值 为 p;;;<-/!。 我 们 赋值 新 的 进位 c<-k。 
因此 ， 乘 法 运算 由 计算 部 分 积 a; biba ，…b) 的 外 部 循环 以 及 计算 内 积 cb (j= 二 0，…， 
n 一 1) 以 及 值 t 和 pi;; 的 内 部 循环 组 成 。 算 法 如 下 所 示 。 


乘法 算法 
1) 设置 p;<-0, FL t= Oly weg = 
2) 设置 t=O, 


3) KR j<0, cx, 
4) KR tepa; täbj Fes pujet mod B; c«|2#/B J, 





龟 ” 当 我 们 说 算法 时 间 渐 进 变 好 时 ， 意 味 着 问题 中 的 数字 越 大 ， 效 率 越 高 。 但 是 不 应 该 过 早 地 兴奋 ， 对 我 们 来 
说 ， 这 个 提高 可 能 没有 意义 。 


5) 设置 j<-j 十 1; 如 果 j 二 n 一 1]， 跳 转 到 步骤 4。 
6 ) 设置 po 


7) 设置 i<-i1 十 1; 如 果 1 三 m 一 1]， 跳 转 到 步骤 3。 
8) 输出 = Oo. t Pein 2*** Po) Bo 





下 面 的 乘法 实现 的 核心 包含 这 一 主 循环 。 ART HT AT FT. AE PR 4 中 需要 变量 上 无 损 
dh fern tt B? 小 的 值 。 与 处 理 加 法 时 类 似 ， 内 积 t+ 表示 为 ULONG 类 型 。 尽 管 如 此 ， 变 量 : 
没有 显 式 地 使 用 ， 结 果 位 p;; ;和 进位 < 仅仅 在 一 个 表达 式 中 出 现 ， 这 与 之 前 提 到 的 加 法 郴 
数 类 似 。 在 初始 化 时 ， 我 们 将 使 用 一 个 比 算法 步骤 1 更 高 效 的 算法 。 


: 乘法 
: int mul_1 (CLINT £1 1, CLINT f2 1, CLINT pp 1); 
i Ei Ils f2 108) 


: pp 1( 积 ) 
: E CLINT OK， 如 果 成 功 
E CLINT OFL， 如 果 上 溢 





int 
mul 1 (CLINT f1 1, CLINT £2_1, CLINT pp 1) 
{ 
register clint *pptr 1, *bptr_1; 
CLINT aa 1, bb 1; 
CLINTD p l; 
clint *a_l, *b l; *aptr_l, *csptr_1, *msdptra L; *msdptrb 1; 
USHORT av; 
ULONG carry; 
int OFL = E_CLINT OK; 
首先 声明 变量 : p 1 将 存储 最 终结 果 ， 因 此 为 双 倍 长 度 。ULONG 类 型 的 变量 carry 将 
存储 进位 。 第 一 步 ， 判 断 哪 个 因子 为 零 ， 以 确定 积 是 否 为 零 。 第 二 步 ， 将 两 个 因子 复制 到 
aa 1 和 bb 1 中 ， 并 清除 前 导 零 。 
让 《EOZ L (f1_1) || eoz L (f2_1)) 
{ 
SETZERO L (pp_1); 
return E CLINT OK; 
} 
epy 1 taal, fá I}; 
coy: (bb ls f2 D 
根据 声明 ， 指针 a 1 和 b 1 分 别 指向 aa 1 和 bb 1 的 地 址 ， 但 当 aa 1 的 位 数 小 于 bb 
1 的 位 数 时 ， 将 a 1 将 指向 bb 1。 即 指针 a 1 总 是 指向 具有 较 大 位 数 的 操作 数 。 
if (DIGITS L (aa 1) < DIGITS L (bb 1)) 
{ 
a_l = bb l; 
b 1 = aal; 
} 
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else 
{ 
al = dal; 
b 1 = bb J; 
} 


msdptra 1 = a_l + *a l; 
msdptrb 1 = b 1 + *b 1; 
为 了 节约 计算 时 间 ， 部 分 积 (Do -10 -2…pbo)p。ao 不 是 像 上 面 要 求 的 那样 进行 初始 化 ， 
而 是 在 一 次 循环 中 计算 ， 并 将 它们 存储 在 D> Pris os Po 中 。 
carry = 0; 
av = *LSDPTR_L (a 1); 
for (bptr_1 = LSDPTR_L (5 1)s pptr 1 = LSDPTR L (p 1); 
bptr 1 <= msdptrb 1; bptr l++, pptr_1++) 
{ 
*pptr_1 = (USHORT)(carry = (ULONG)av * (ULONG)*bptr 1 + 
(ULONG) (USHORT) (carry >> BITPERDGT)); 
} 
*pptr_1 = (USHORT)(carry >> BITPERDGT); 
HEF RERAWREMR, Malta 1[2] 位 开始 。 
for (csptr 1 = LSDPTR L (p 1) + 1, aptr_1 = LSDPTR L (a 1) + 1; 
aptr 1 <= msdptra 1; csptr_l++, aptr_1++) 
{ 
carry = 0; 
av = *aptr_1; 
for (bptr_1 = LSDPTR_L (b 1), pptr 1 = csptr 1; 
bptr 1 <= msdptrb_1; bptr l++, pptr_1++) { 
*pptr 1 = (USHORT)(carry = (ULONG)av * (ULONG)*bptr 1 + 
(ULONG)*pptr 1 + (ULONG)(USHORT)(carry >> BITPERDGT)); 
} 


*pptr 1 = (USHORT)(carry >> BITPERDGT); 
} 
结果 的 最 大 可 能 长 度 为 a 1 和 b 1 的 位 数 之 和 。 如 果 结 果 少 于 1 位 ， 则 由 宏 RMLDZRS 
LER. 
SETDIGITS L (p 1, DIGITS L (a 1) + DIGITS L (b 1)); 
RMLDZRS L (p 1); 
如 果 结 果 比 一 个 CLINT 对 象 所 能 表示 的 最 大 范围 还 大 ， 那 么 它 将 被 约 简 ， 错 误 标 志 
OFL 将 设置 为 值 E CLINT OFL。 然 后 将 约 简 的 结果 赋值 给 对 象 pp 1. 
if (DIGITS L (p 1) > (USHORT)CLINTMAXDIGIT) /* overflow ? */ 
{ 
ANDMAX L (p 1); /* reduce modulo (Nmax + 1) */ 
OFL = E CLINT OFL; 
} 


cpy_1 (pp_l, p_l); 
return OFL; 


} 
由 于 乘法 运行 时 间 :二 OCmn)， 所 以 t 与 两 个 操作 数 的 位 数 m 入 的 积 成 正比 。 对 于 
乘法 ， 我们 也 实现 了 类 似 于 加 法 和 减法 的 混合 函数 ， 它 处 理 一 个 CLINT 类 型 的 因子 乘 以 一 


个 USHORT 类 型 的 参数 。 这 种 短 版 本 的 CLINT 乘法 需要 O(n) 的 CPU 运算 时 间 ， 这 个 结 采 
不 是 由 于 算法 的 某 一 特定 改善 造成 ， 而 是 由 于 USHORT 类 型 的 长 度 较 短 造成 的 。 之 后 ， 我 
们 将 在 一 个 特殊 的 基于 USHORT 类 型 数 的 求 寡 运算 程序 中 看 到 这 一 图 数 。( 人 参见 第 6 章 ， 
wmexp 1 () PRL). 

对 于 umul 1() 函 数 的 实现 ， 我们 首先 回顾 mul 1 () 函 数 的 一 些 代码 段 ， 并 在 略 作 修 
改 以 后 重用 它们 。 


: 一 个 CLINT 类 型 数 和 一 个 USHORT 类 型 数 的 乘法 
: int umul 1 (CLINT aa 1, USHORT b, CLINT pp 1); 
i EL l E2 MBT? 


: pp 1R) 
: E CLINT _ OK， 如 果 成 功 
E CLINT OFL, wR Eğ 





int 
umul 1 (CLINT aa l, USHORT b, CLINT pp 1) 
{ 
register clint *aptr_l, *pptr_l; 
CLINT a l; 
clint p_1[CLINTMAXSHORT + 1]; 
clint *msdptra_ 1; 
ULONG carry; 
int OFL = E_CLINT OK; 
cpy 1 (a_l, aa 1); 
if (EQZ L (a 1) || 0 == b) 
{ 
SETZERO_L (pp_1); 
return E CLINT_OK; 
} 
进行 了 上 述 准 备 之 后 ，CLINT 类 型 的 因子 与 USHORT 类 型 的 因子 进行 一 次 乘法 循环 ， 
最 终 进 位 存储 在 CLINT 类 型 数 的 最 高 有 效 部 分 并 强制 转换 为 USHORT 类 型 。 
msdptra 1 = MSDPTR_L (a 1); 
carry = 0; 
for (aptr 1 = LSDPTR L (a1), pptr 1 = LSDPTR 1 (p 1); 
aptr 1 <= msdptra 1; aptr l++, pptr 1++) 
{ 
*pptr 1 = (USHORT)(carry = (ULONG)b * (ULONG)*aptr 1 + 
(ULONG) (USHORT) (carry >> BITPERDGT)); 
} 
*pptr 1 = (USHORT)(carry >> BITPERDGT) ; 
SETDIGITS L (p 1, DIGITS L (a 1) + 1); 
RMLDZRS L (p_1); 


if (DIGITS L (p 1) > (USHORT)CLINTMAXDIGIT) /* overflow ? */ 


{ 
ANDMAX_L (p 1); /* reduce modulo (Nmax + 1) */ 
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OFL = E CLINT OFL; 
} 


cpy_l (pp_l, p_1); 
return OFL; 


} 


4.2.2 更 快 的 平方 运算 


计算 大 数 的 平方 所 需要 进行 的 乘法 步骤 明显 比 计算 两 个 不 同 大 数 相 乘 所 需要 的 乘法 步 
又 少 。 这 是 由 于 乘法 中 两 个 相同 操作 数 的 对 称 性 造成 的 。 这 个 发 现 非常 重要 ， 因 为 在 计算 
震 时 ， 其 平方 次 数 不 止 一 次 ， 而 是 成 百 上 千 次 时 ， 所 以 我 们 将 获得 相当 大 的 速度 提升 。 我 
们 再 来 看 看 著名 的 乘法 模式 ， 此 时 取 两 个 相同 的 因子 (azaiau)5s( 见 图 4-2). 


(qsyaiao) g (aa2aiao) 5 


aay 


+ aa, a,a, 


we Pom] [oor] 


Ps Ps P pi Po)s 





图 4-2 平方 运算 


我 们 发 现 内 积 aa; 在 i 二 =j 的 情况 下 出 现 了 一 次 (图 4-2 中 粗 体 字 部 分 )， 在 AZ 的 情 
况 下 出 现 了 2 次 (图 中 框 内 部 分 )。 因 此 ， 我 们 可 以 通过 对 所 有 aia;B”’ 相 加 (其 中 i= 站 的 
nbd Ed badass 
p= Saab 1 = 25) Saab + Salp 
因此 ， 平方 运算 需要 的 基本 乘法 步骤 数 相 较 于 小 学 方法 的 从 产 ‘减少 到 n(n 十 1)/2。 
平方 运算 的 一 种 算法 在 两 个 嵌 套 循环 中 分 别 对 上 述 表 达 式 中 的 两 个 加 数 进行 运算 。 


平方 算法 1 

1) 设置 p<-0， 其 中 i 二 0，*…*， n—1, 

2) 设置 i40, 

3) RE teba tal, putt mod B, c«|2/B I. 
4) 设置 j<-i 十 1; 如 果 j= 二 n， 跳 转 到 步骤 7。 


5) A tepar Fad; Fes puget mod B, c«|t/B]. 
6) 设置 j<~jtl; 如 果 J 委 2 一 1， 跳 转 到 步骤 5。 

7) RB biat Co 

8) 设置 jei+l; 如 果 i 二 n 一 1]， 跳 转 到 步骤 7。 

9) 输出 p 二 (ps,_1pzn_2s*"*po)s。 





为 了 选择 变量 表示 所 必需 的 数据 类 型 ， 我 们 必须 注意 t 可 以 假设 有 值 
(B—1)+2(B—1)?+(B—1) = 2B? — 2B 
(在 算法 步骤 5 中 )。 但 是 这 意味 着 为 了 表示 基于 基数 B 的 +:， 需 要 比 基 数 B 多 两 位 ， 又 由 
于 我 们 有 B 一 1 过 2B 一 28 二 2B’ 一 1， 所 以 一 个 ULONG 类 型 不 足以 表示 tz( 上 述 不 等 式 由 于 
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需要 一 个 额外 的 二 进 制 位 而 产生 )。 虽 然 这 对 于 一 个 可 以 读 取 CPU 进位 的 汇编 程序 来 说 没 
有 问题 ， 但 对 于 C 语言 程序 来 说 ， 操 作 多 出 的 二 进 制 位 就 很 困难 了 。 为 了 绕 过 这 一 难题 ， 
我 们 改变 了 上 述 算 法 ， 将 步骤 5 中 需要 乘 以 2 的 乘法 在 一 个 单独 的 循环 中 执行 。 这 需要 步 
又 3 在 其 自己 的 循环 中 执行 ， 因 此 我 们 在 循环 管理 上 付出 一 点 额外 的 代价 就 能 避免 计算 额 
外 的 二 进 制 位 。 改 变 的 算法 如 下 。 


平方 算法 2 
1) 初始 化 : 设置 p0, HYP i=0, =, n—l. 
2) 计算 不 相等 指数 位 的 积 : 设置 i<-0。 
3) AE iit e40, 
EE tpa taa; të, Paje t mod B, c| /B | 
设置 j<j+l; wRi<n—-1, Iža) K 4。 
KE Pitat-Co 
设置 i<-i 十 1; 如 果 i<n—2. wes 3| HR 3。 
内 积 乘 以 2 的 乘法 : RE iel, c40, 
设置 t<2p;+cs pet mod B, c<|2t/B]. 
设置 i<-i 十 1; WR i<2n—2, Hess H ROI, 
设置 Paito 
内 部 平方 的 加 法 : 设置 i<-0，c<-0。 
tepa tai +c, paet mod B; cel t/B]. 
t<Po4,+Cs Pai et mod B, ca—| t/B]|. 
设置 i<-i 十 1; wRi<n—1, g4 a)y k 13, 
设置 prn- Pai tce; 输出 P= CPon—1 Pan—2*** Po) Bo 





在 平方 运算 的 C RAS, AR 1 中 的 初始 化 与 乘法 相似 ， 都 计算 并 存储 第 一 个 部 
分 积 Ay lâ,- ilya di) Bo 


: 平方 运算 
: int sqr 1 (CLINT £ 1, CLINT pp 1); 
: £1 1(8F) 


5 po NFA) 
: E CLINT OK， 如 果 成 功 
E CLINT OFL, wR Eğ 





int 
sqr 1 (CLINT f_1, CLINT pp 1) 
{ 

register clint *pptr 15 *bptr_1; 

CLINT a l; 

CLINTD p 1; 

clint *aptr 1, *csptr 1, *msdptra 1, *msdptrb 1, *msdptrc 1; 
USHORT av; 

ULONG carry; 
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int OFL = E CLINT OK; 


epy_1 (al, f.1)3 
if (EGZ L (a_1)) 

{ 

SETZERO L (pp 1); 

return E CLINT OK; 

} 
msdptrb_1 = MSDPTR L (a 1); 
msdptra 1 = msdptrb 1 - 1; 
用 pptr 1 表示 结果 数组 ， 其 初始 化 通过 部 分 积 ao(a, 14,s…ai)g 进行 ， 与 乘法 类 

似 。 这 里 的 数位 po 并 未 赋值 ; 它 必 须 设 置 为 0。 
ELSDPTR L (p_I) = 0; 
carry = 0; 
av = *LSDPTR_L (a 1); 
for (bptr 1 = LSDPTR L (a 1) + 1, pptr 1 = LSDPTR_L (p 1) + 1; 
bptr 1 <= msdptrb 1; bptr_l++, pptr_1++) 
{ 
*pptr 1 = (USHORT)(carry = (ULONG)av * (ULONG)*bptr 1 + 
(ULONG) (USHORT) (carry >> BITPERDGT)); 

} 
*pptr 1 = (USHORT)(carry >> BITPERDGT); 
以 下 为 计算 内 积 aa; 的 和 的 循环 。 
for (aptr 1 = LSDPTR L (a 1) + 1, csptr 1 = LSDPTR L (p 1)+3; 

aptr 1 <= msdptra 1; aptr l++, csptr 1 += 2) 

{ 

Carry = 0; 

av = *aptr_ 1; 

for (bptr 1 = aptr 1 + 1, pptr 1 = csptr 1; bptr 1 <= msdptrb 1; 

bptr_l++, pptr_1++) 
{ 
*pptr 1 = (USHORT)(carry = (ULONG)av * (ULONG)*bptr 1 + 
(ULONG)*pptr_1 + (ULONG)(USHORT) (carry >> BITPERDGT)); 
} 

*pptr 1 = (USHORT)(carry >> BITPERDGT); 

} 
msdptrc 1 = pptr 1; 
然后 通过 移 位 运算 (参见 7. 1 节 ) 实 现 将 pptr 1 的 中 间 结 果 乘 以 2。 


carry = 0; 
for (pptr 1 = LSDPTR_L (p 1); pptr 1 <= msdptrc_1; pptr_1++) 
{ 


*pptr_l = (USHORT)(carry = (((ULONG)*pptr 1) << 1) + 
(ULONG) (USHORT) (carry >> BITPERDGT)); 


} 
*pptr 1 = (USHORT)(carry >> BITPERDGT); 


现在 我 们 计算 “ 主 对 角 线 ”。 

Carry = 0; 

for (bptr 1 = LSDPTR_L (a1), pptr 1 = LSDPTR L (p T); 
bptr 1 <= msdptrb 1; bptr_l++, pptr_l++) 


{ 

*pptr 1 = (USHORT)(carry = (ULONG)*bptr 1 * (ULONG)*bptr_1 + 
(ULONG)*pptr 1 + (ULONG)(USHORT)(carry >> BITPERDGT)); 

pptr_l++; 

*pptr 1 = (USHORT)(carry = (ULONG)*pptr_1 + (carry >> BITPERDGT)); 

} 

剩 下 的 步骤 与 乘法 相似 。 

SETDIGITS L (p 1, DIGITS L (a 1) << 1); 

RMLDZRS L (p 1); 

if (DIGITS L (p 1) > (USHORT)CLINTMAXDIGIT) /* overflow ? */ 


{ 
ANDMAX L (p_1); /* reduce modulo (Nmax + 1) */ 


OFL = E CLINT OFL; 
} 
cpy_l (pp_l, p_l); 
return OFL; 
} 
平方 的 运算 时 间 为 Ol(x )， 同 样 是 操作 数位 数 的 平方 ， 但 是 由 于 它 只 需 进 行 n(n 十 1)/2 
次 基本 乘法 ， 所 以 运算 速度 大 概 是 一 般 乘 法 的 2 倍 。 


4.2.3 Karatsuba 能 否 做 得 更 好 


乘法 和 除法 可 以 拆 解 所 有 的 事物 ， 这 样 就 只 需要 关注 整体 中 的 一 个 特别 的 
部 分 。 





Sten Nadolny, (God of Impertinence) ( Breon Mitchell # ) 


如 上 所 述 ， 我 们 将 研究 以 俄罗斯 数学 家 A. Karatsuba 命名 的 乘法 算法 ， 后 来 他 又 发 布 
了 很 多 该 算法 的 变种 算法 (参见 LKnutj4. 3. 3 节 )。 我 们 假设 a Alb 是 n= 二 2 位 的 B 进 制 自 
RE, AERE UER a= laia) g A b= (bibi), HEP ao, ai, bo M b X Bt 进 制 的 
数 。 我 们 用 传统 的 方法 将 a Al 相 乘 ， 则 有 以 下 公式 
ab = Baibi + B*(aobi + arbo) Haobo 

在 基数 为 B 的 情况 下 ， 要 做 4 次 乘法 ， 即 在 基数 为 B 的 情况 下 ,为 n 二 4& 次 基本 乘法 。 
然而 ， 如 果 我 们 设 

Co = Ando 

cl :一 a,b, 


Cay + di ) Cby 十 bi ) — Cg — i€3 


S 
to 


则 我 们 有 
ab = Bt (B*ci +02) +e 

为 计算 abp， 现 在 在 基数 为 B* 的 情况 下 ， 只 需要 进行 3 次 乘法 运算 ; 在 基数 为 B 的 情 
况 下 ， 需 要 3k° 次 乘法 运算 ， 以 及 一 些 加 法 和 移 位 运算 (在 基数 为 B 的 情况 下 ， 乘 以 B 的 
乘法 可 以 通过 左 移 &A 位 来 实现 ; 参见 7. 1 节 )。 我 们 假设 因子 a 和 2 的 位 数 是 2 KE. HR 
据 计算 剩余 部 分 积 的 递归 程序 的 结果 ， 我 们 可 以 只 执行 基于 基数 B 的 基本 乘法 ， 这 总 共 需 
要 进行 3%" 二 nn” 次 基本 乘法 ， 与 进行 n 次 基本 运算 的 传统 方法 比 ， 主 要 增加 了 
加 法 和 移 位 运算 的 开销 。 

对 于 平方 运算 ， 可 以 对 这 个 过 程 稍 做 简化 ， 
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Cs = (ap Fa) = ci m Gi 
则 我 们 有 
a? = BY(B*c, +e) +60 
此 外 ， 与 一 般 的 乘法 相 比 ， 才 运算 中 的 因子 总 是 具有 相同 的 位 数 ， 这 些 对 于 上 述 约 简 
来 说 是 很 有 利 的 。 然 而 ， 我 们 应 该 注意 Karatsuba 程序 中 的 递归 运算 总 是 会 造成 一 些 开 
销 ， 这 些 开 销 不 知 能 和 否 抵消 约 简 带 来 的 节省 ， 因 此 当 数 字 较 大 时 ， 我 们 和 硕 望 它 能 比 不 需要 
管理 递归 造成 额外 开销 的 传统 方法 耗 时 更 少 。 
为 了 获得 关于 快速 乘法 的 平均 运算 时 间 的 信息 ， 我 们 提供 了 函数 kmul () Ail ksar () 。 
将 因子 分 为 两 个 部 分 ， 因 此 不 需要 再 分 别 复制 每 一 个 部 分 。 但 我 们 需要 回 图 数 传递 指 回 两 
个 因子 的 最 低 有 效 位 的 指针 和 相应 的 位 数 。 
如 果 因 子 的 位 数 大 于 某 个 宏 确 定 的 位 数 ， 则 下 面 提供 的 函数 使 用 递归 过 程 ; 对 于 较 小 
的 因子 ， 我 们 使 用 传统 的 乘法 或 者 平方 。 对 于 非 递 归 乘 法 ， 函数 kmul () 和 ksar () 使 用 辅 
By pA mult OF sqr()， 这 两 个 阴 数 用 内 核 没 数 实现 了 乘法 和 平方 ， 但 不 支持 相同 参数 
地 址 (办 加 模式 ) 或 者 上 洲 时 的 约 简 。 


: 2k 位 B 进 制 数 a 1 和 b 1 的 Karatsuba 乘法 运算 
void kmul (clint *aptr 1, clint *bptr 1, 
int len a, int len b, CLINT p 1); 
: aptr 1( 指 向 因子 a 1 的 最 低 有 效 位 ) 


bptr 1( 指 向 因子 b 1 的 最 低 有 效 位 ) 
len ala 1 的 位 数 ) 
len b(b 1 的 位 数 ) 

输出 : p 1( 积 ) 





void 
kmul (clint *aptr_1, clint *bptr 1, int len a, int len b, CLINT p 1) 
{ 
CLINT cO1_1, c10 1; 
clint cO_1[CLINTMAXSHORT + 2]; 
clint c1_1[CLINTMAXSHORT + 2]; 
clint c2_1[CLINTMAXSHORT + 2]; 
CLINTD tmp l; 
clint *aiptr_l, *biptr 1; 
int 12; 
if ((len_a == len_b) && (len_a >= MUL_THRESHOLD) 
&& (0 == (len a & 1)) ) 
{ 
如 果 两 个 因子 具有 相同 的 偶数 位 ， 且 大 于 值 MUL THRESHOLD, MAHER ATF 
为 两 个 部 分 作为 递归 函数 的 输入 。 指 针 aptr 1、alptr 1、bptr 1, blptr 1 分 别 指向 4 
个 部 分 的 最 低 有 效 位 。 由 于 不 是 完全 的 复制 ,所 以 我 们 省 下 了 宝贵 的 时 间 。 通 过 递归 调用 
kmul () 计 算得 到 值 ce 和 cj， 并 存储 在 CLINT 变量 c0 1 和 cl 1 中 。 


12 = len_a/2; 

aiptr_l = aptr 1 + 12; 

biptr 1 = bptr 1 + 12; 

kmul (aptr_l, bptr_1, 12, 12, co_1); 

kmul (aiptr_l, biptr_1, 12, 12, c1 1); 

值 Co t= (go Cbs +8) X Eymt 通过 两 次 加 法 、 一 次 对 kmul () 的 调用 和 两 次 减法 
计算 得 到 。 辅 助 函 数 addkar () 的 输入 参数 为 分 别 指向 两 个 等 长 加 数 的 最 低 有 效 位 的 指针 
和 它们 的 位 数 ， 最 终 输 出 两 个 数 的 CLINT 类 型 的 和 。 

addkar (aiptr_1, aptr 1, 12, co1 1); 

addkar (biptr 1, bptr 1, 12, c10 1); 

kmul (LSDPTR L (cO1_1), LSDPTR L (c10 1), 

DIGITS L (co1 1), DIGITS L (c10 1), c2 1); 

subi (c2_1, c1 l; ‘tmp i); 

sub (tmp 1, co 1, c2 1); 

该 函数 分 支 最 终 以 计算 BB eo, te) tc 的 值 结束 ， 这 里 使 用 了 辅助 函数 shiftadd 
() 。 这 个 函数 在 加 法 中 ， 先 将 第 一 个 CLINT 类 型 的 加 数 左 移 一 个 给 定 的 已 进 制 位 数 ， 再 
将 得 到 的 结果 与 第 二 个 CLINT 类 型 的 加 数 相 加 。 

shiftadd (c1 1, c2 1, 12, tmp 1); 

shiftadd (tmp 1, co 1, 12, p 1); 

} 

如 果 其 中 一 个 输入 条 件 不 满足 ， 则 终止 递归 函数 ， 并 调用 非 递 归 函 数 mult ()。 作 为 调用 
mult () 阴 数 的 前 提 ， 需 要 将 存放 在 aptr 1 和 bptr 1 中 的 两 个 因子 分 别 转换 为 CLINT 格式 。 

else 

{ 
memcpy (LSDPTR_L (c1 1), aptr 1, len a * sizeof (clint)); 
memcpy (LSDPTR_L (c2 1), bptr 1, len b * sizeof (clint)); 
SETDIGITS L (c1 1, len a); 
SETDIGITS L (c2_1, len b); 
mult {ci 1, c2 1; pi); 
RMLDZRS L (p_1); 

} 

} 

Karatsuba 平方 实现 过 程 与 上 述 乘法 类 似 ， 这 里 将 不 再 对 细节 进行 详细 讨论 。 为 了 调用 
kmul () 和 ksar ()， 我 们 将 利用 函数 kmul 1 QM ksar 1()， 它们 具有 标准 的 函数 接口 。 





: Karatsuba 乘法 和 平方 运算 

: int kmul 1 (CLINT a l; CLINT b 1, CLINT p 1); 
int ksqr 1 (CLINT a l, CLINT p 1); 

: al. jb 1 因子 ) 


: p 1( 积 ) 
: E CLINT OK， 如 果 成 功 
E CLINT OFL, AL 





Karatsuba 图 数 的 实现 包含 在 源 文件 kmul.c 中 ， 可 在 www. apress. com 下 载 源 代 码 。 


大 量 关 于 这 些 函 数 的 测试 结果 (测试 环境 为 500MHz 的 奔腾 亚 处 理 器 下 的 Linux 系统 ) 
表明 ， 调 用 输入 低 于 40 位 (相当 于 640 位 二 进 制 位 ) 的 非 递归 乘法 程序 时 效率 最 高 。 胃 数 
实现 的 计算 时 间 如 图 4-3 所 示 。 
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图 4-3 Karatsuba pk BAY CPU 计算 时 间 


从 图 4-3 中 可 以 得 出 我 们 想 要 的 东西 ， 标 准 乘法 和 平方 之 间 在 性 能 上 大 约 有 40% BY 22 
寞 ， 对 于 超过 2000 位 的 二 进 制 数 ， 计 算 的 时 间 差 别 变 得 更 显著 Karatsuba 方法 领先 。 
有 趣 的 是 ,“ 标 准 ” 乘 方 sqr 1() 明 显 比 Karatsuba 乘法 运算 速度 快 ， 而 Karatsuba 乘 方 
ksar 1 () 只 有 在 进行 超过 3000 位 的 计算 时 才 领 先 于 其 他 算法 。 

本 书 第 1 版 提 到 Karatsuba 函数 对 于 小 的 数 输入 时 性 能 将 下 降 ， 但 在 这 一 版 已 经 得 到 
提升 。 但 是 ， 它 仍 有 继续 提升 的 空间 。kmul 1 () 运 行 时 间 的 显著 不 连续 性 说 明 ， 如 果 递 
归 步 又 不 具有 偶数 位 数 ， 那 么 递归 将 比 指定 的 阔 值 更 早 中 断 。 在 最 坏 的 情况 下 ， 这 正好 发 
生 在 乘法 运算 的 开始 ， 这 时 ， 即 使 输入 很 大 的 数 仍 比 一 般 情况 下 的 性 能 差 。 因 此 ， 我 们 扩 
展 Karatsuba 函数 使 其 支持 不 同位 数 的 数 和 奇数 位 的 数 。 

Ai FB" 2K 45 BAY Max Planck( 4 sey + 普 朗 克 ) 科 学 促进 协会 的 J. Ziegler Zieg ] 开 发 
了 一 种 针对 64 位 CPU(Sun Ultra-l) 的 Karatsuba 乘法 和 平方 的 简单 实现 方法 ， 该 方法 在 
640 位 以 上 时 超越 了 传统 方法 的 性 能 。 对 于 乘 方 , 在 1024 位 情况 下 ， 人 性 能 提升 10%; 在 
2048 位 情况 下 ， 性 能 提升 23%. 

C. Burnikel 和 J. Ziegler| BuZi JÆ Karatsuba 乘法 的 基础 上 提出 了 一 种 有 趣 的 递归 除法 
算法 ， 这 种 算法 从 十 进 制 的 250 位 开始 性 能 比 小 学 算法 不 断 升 高 。 

再 次 声明 ，Karatsuba 函数 对 加 密 应 用 并 没有 特别 大 的 性 能 提升 ， 因 此 我 们 更 习惯 使 
H mul 1() 和 sqr 1() 函 数 ， 它 有 助 于 我 们 理解 传统 算法 (和 它 在 汇编 语言 下 优化 的 变种 ; 
参见 第 19 章 ) 。 但 在 应 用 方面 ， 更 应 该 用 Karatsuba 函数 替换 应 用 中 的 函数 mul 1() 和 
Sar 1 (ys 
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我 们 还 需要 铺设 大 数 基 本 运算 大 厦 的 最 后 一 块 基石 ， 即 除法 ， 这 也 是 在 所 有 运算 中 最 
复杂 的 一 个 。 因 为 我 们 的 计算 需要 与 自然 数 打交道 ， 所 以 我 们 就 只 能 以 自然 数 表 示 除 法 的 
结果 。 我 们 将 讲解 的 除法 称 为 带 余 除 法 。 它 基于 以 下 关系 。 给 定 K，pEZ，0>0， 有 唯一 
整数 g 和 xr， 满足 4 二 gb 十 +r， 其 中 0 过 r+ 二 5。 我 们 称 v AB. r Aa 除 以 5 的 余数 。 
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通常 ， 相 比 于 商 我 们 更 关注 余数 。 在 第 5 章 中 我 们 将 发 现 计 算 余 数 的 重要 性 ， 因 为 它 
被 用 在 许多 算法 中 ， 常 与 加 法 、 减 法 、 乘 法 和 宕 运算 共同 使 用 。 因 此 ， 尽 可 能 提高 除法 算 
法 的 效率 是 物 超 所 值 的 。 

对 于 自然 数 a 和 4， 执行 带 余 除法 最 简单 的 方法 是 被 除数 oe 不 断 地 减 去 除数 / ， 直 到 简 
余数 r 比 除数 5 小 。 我 们 可 以 通过 计算 执行 了 多 少 次 减法 而 计算 出 商 。 商 g 和 余数 + 具有 
信 gg 二 |a/b]; r=a—la/b]b®e, 

=" 354938 : 427 = 831 ， 人 余数 101 

这 种 重复 做 减法 的 除法 当然 会 很 让 人 厌烦 。 即 使 我 们 在 小 “| -3416| 
学 学 习 的 计算 除法 的 方法 也 显然 比 这 种 除法 的 效率 高 。 在 小 学 “| 2， 
除法 中 ， 商 通过 乘 以 除数 的 因子 而 一 位 一 位 地 确定 ， 被 除数 依 “| =00528 
次 减 去 得 到 的 部 分 积 ， 如 图 4-4 所 示 . -1 

我 们 通过 估算 或 者 试 错 的 方式 确定 了 商 的 第 一 位 为 8。 
如 果 出 现 错 误 ， 那么 有 两 种 可 能 ， 一 是 积 ( 商 的 这 一 位 数 乘 ””“ 图 44 除法 计算 步 又 
以 除数 ) 太 大 (例子 中 ， 比 3549 大 )， 二 是 经 过 被 减 数 减 去 部 分 积 得 到 的 余数 大 于 除数 。 
第 一 种 情况 选择 的 商 的 数位 太 大 ， 第 二 种 情况 太 小 ， 上 述 任何 一 种 情况 出 现 ， 都 必须 加 
以 更 正 。 

这 种 启发 式 的 除法 算法 应 该 被 更 加 准确 的 除法 算法 替代 。 在 [Knut]4. 3. 1 节 中 ，Don- 
ald Knuth 描述 了 怎么 使 这 种 粗略 计算 变 精准 的 方法 。 我 们 仔细 地 看 看 例子 。 

U A= (Ant n—1Amin—2°* Ao) 和 0 三 (0 bo) 为 两 个 B PER A RR, 6, EO 
ih ABO. by. >0. FEN SRW KAR a=qhtr, 0<r<b 的 商 g 与 余数 >。 

遵循 上 述 的 长 除法 ,为 了 计算 gq 和 +， 需要 在 每 一 步 返 回 一 个 商 的 数字 g, = R/O I< 
By Hp, SS APH R= lanni anin a)n 由 被 除数 的 最 高 有 效 位 开始 到 第 & 位 结束 ， 
I<LR/bI<BCE LBP, RMA mt+n—-1=34+3—-1=5, 有 二 2，R 二 3549)。 然 后 我 们 设 
置 尺 :二 R 一 gjb， 为 保证 商 的 数字 q 的 正确 性 ， 需 满足 条 件 0 二 R 二 5b。 之 后 ,，R 被 值 RB 十 
(被 除数 的 下 一 位 数字 ) 替 换 ， 则 下 一 位 商 再 一 次 进行 | R/5」。 当 被 除数 的 所 有 数字 都 参与 
运算 后 ， 整 个 除法 结束 。 除 法 的 余数 是 R 最 后 一 次 计算 的 值 。 

为 了 编程 这 一 过 程 ， 我 们 必须 反复 确定 两 个 大 数 R= Cr, ry), M b= (b,b, 


b) LR/b <B> RE Q :一 | 全 | (=,=0 是 可 能 的 )。 这 里 采用 Knuth 提供 的 Q 的 近似 值 ， 


它 由 下 和 2 的 前 导数 字 计 算得 到 。 
设 





@ = min| |e | 
WR b, 1 >LR/b], Wt FACENU Knut }4.3.1 W, MAMB), 我 们 有 一 2 二 Q<6。 
在 除数 最 高 位 比 召 充分 大 的 有 利 假设 下 ，& 作 为 Q 的 近似 值 至 多 比 Q 大 2， 且 永远 不 会 比 
BAe 

即使 同时 增加 操作 数 a 和 2 的 倍数 ， 依 然 可 以 达到 这 种 假设 条 件 。 我 们 选择 4 二 0 使 
得 db >| 5] 9 令 4 imad = (fn i n—|] e.e åo as 并 设置 2 :二 bd 一 Cb, b, 5 Be 对 d 


的 选择 遵循 2 的 位 数 不 会 大 于 4 的 位 数 的 规则 。 在 上 述 的 符号 中 考虑 了 4 可 能 比 a 多 1 位 的 


,B 一 1| (4-1) 


© 注意 a<0 时 ， #iathb, 则 g=—[la|/o]. r—b—( | a | + qb); Ealt, 则 | r—0. 因此 ， 带 余 除法 可 以 约 
简 为 a，bE NN 的 情况 。 
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情况 (如 果 不 是 这 种 情况 ， 我们 设置 4,,;, 二 0)。 无 论 如 何 ， 在 实际 中 ，d 选择 为 2 WWE. X 
样 扩大 运算 对 象 时 可 以 采用 简单 的 移 位 操作 。 由 于 两 个 操作 数 都 乘 以 相同 的 因子 ， 所 以 商 
RAE. H La@/bl=La/b]. 

对 于 式 (4-1) 中 6 的 选择 ， 如 果 我 们 将 其 分 别 应 用 到 已 扩大 的 4、F 和 5 中， 可 以 改 用 为 
6 二 Q 或 者 二 Q 十 1: 如 果 从 6 的 选择 中 我 们 有 有 一 2 6 二 ( 访 B 十 所 -1 一 G6, BH IA 
将 9 减 去 1 后 再 次 重复 检验 。 采 用 这 种 方式 ， 我 们 就 处 理 了 所 有 4 比 Q 大 2 的 情况 ， 还 有 很 
少 的 6 比 Q 大 1 的 情况 (参见 L[Knut]j4. 3. 1 节 ， 练 习 19 和 练习 20) 。 后 者 由 剩 下 的 被 除数 减 
去 “除数 乘 以 商 ” 得 到 的 部 分 积 确 定 。 在 最 后 一 次 循环 中 ，4 必 须 减 去 1， 然 后 更 新 余数 。 
带 余 除法 的 算法 实现 过 程 如 下 。 


4 一 (an+ ian+ az…ao)js 二 0 RRA b= (b,b, bo) >0 的 带 余 除法 的 算法 
1) 按 上 面 所 给 出 的 方法 确定 比例 因子 d。 

2) RE rr P= tint al mtn- i lm tn—2 Be(Oaninidnin U0) Be 

3) RB ix-m+n, Jem. 
EBTI 


b,, =] 


|. B11, EP. A. AIRE wa RACY). 


4 设置 -min || 


如 果 —2 G>7,.B+?,-,.—G,_,)Bt+hi-1, RHG<G-1, HERR-HEA, 
5) 如 果 r—bg<0, HEG- l. 
6) RKE r= rrii ri ae FeO "ds Gd 
7) 设置 ixi—l, jx j—l; 如 果 i>n, MHRA, 
8) 输出 Q= (CGn@m—1°""Go) B FP r= (ry-1Tn—-2 °°" 10) Bo 





如 果 除 数 只 有 单独 一 位 数 mw ， 那 么 可 以 通过 初始 化 r<-O 和 用 bo 除 以 两 位 数 (ra;)s 的 
带 余 除法 来 缩短 该 过 程 。 这 里 r 被 余数 重 写 ， r<—(rai)p— qibo, a; 需要 遍历 被 除数 的 所 有 
数字 。 最 终 ，r MAAR. q= ngm qo) 成 为 商 。 

现在 ， 我 们 介绍 了 除法 算法 实现 的 所 有 过 程 ， 下 面 介 绍 它 的 C AR. 





: 带 余 除 法 
: int div 1 (CLINT dl 1，CLINT d2_1, CLINT quot_1,CLINT rem 1); 
: d 1( 被 除数 )，d2 1( 除 数 ) 


: quot 1(%), rem 1( 余 数 ) 
: E CLINT OK, WARY 
E CLINT DBZ， 如 果 除 数 为 0 





int 
div 1 (CLINT d1 1, CLINT d2 1, CLINT quot l, CLINT rem 1) 


{ 
register clint *rptr_l, *bptr l; 
CLINT b 1; 


/* Allow double-length dividend plus 1 digit */ 
clint r 1[2 + (CLINTMAXDIGIT << 1)]; 


clint *qptr_l, *msdptrb 1, *lsdptrr_1, *msdptrr_ 1; 
USHORT bv, rv, ghat, ri, ri 1, ri 2, bn 1, bn 2; 
ULONG right, left, rhat, borrow, carry, sbitsminusd; 
unsigned int d = 0; 
int i; 
将 被 除数 二 2…"Q0 )B 和 除数 b= (b, 1O,—2***bo ) B 复制 到 两 个 CLINT 变量 下 | 
和 Pb 1 中。 清除 其 前 导 零 。 如 果 除 数 的 值 为 零 ， 咏 数 中 断 ， 并 返回 错误 码 EE CLINT DBZ. 
我 们 允许 被 除数 的 位 数 为 MAX, 的 2 倍 。 这 样 可 以 方便 实现 之 后 模 运 算 中 的 除法 运 
算 。 对 于 调用 函数 ， 存 储 空间 必须 总 是 能 够 足够 存储 2 倍 长 度 的 商 。 
cpy_l (r_l, dil); 
cpy_1 (b.1,, d2 1); 
if (EQZ_L (b 1)) 
return E CLINT DBZ; 
检验 以 下 三 种 情况 是 否 存 在 : 被 除数 二 0; 被 除数 二 除数 ; 或 者 被 除数 一 除数 。 在 这 
些 特殊 情况 下 ， 我们 可 以 快速 完成 除法 运算 。 
if (EOZ L (£ IJ) 
{ 
SETZERO L (quot 1); 
SETZERO L (rem 1); 
return E CLINT OK ; 
} 
i= cmp.1 (z 1, b_1); 
if (i == -1) 
{ 
cpy 1 (rem 1, x 1); 
SETZERO_L (quot 1); 
return E CLINT OK ; 
} 
else if (i == 0) 
{ 
SETONE L (quot 1); 
SETZERO_L (rem 1); 
return E CLINT OK ; 
} 
在 以 下 步骤 中 ， 我 们 判断 除数 是 否 为 1 位。 在 这 种 情况 下 ， 将 进入 函数 的 另 一 分 支 ， 
从 而 进行 我 们 刚刚 讨论 过 的 快速 除法 。 
if (DIGITS L (b 1) == 1) 
goto shortdiv; 
现在 开始 进行 实际 的 除法 。 首 先 确定 一 个 以 2 为 底 的 办 作为 比例 因子 4。 只 要 bb > 
BASEDIV2 :二 | B/2」]， 除 数 的 最 高 有 效 位 5b,_1 将 左 移 1 位， 并 将 初始 值 为 0 的 dq 加 1。 同 
时 ， 指 针 msdptrb 1 指向 除数 的 最 高 有 效 位 。 值 BITPERDGT 一 d 在 后 面 将 经 常用 到 ， 因 
此 将 之 存储 在 变量 sbitsminusd 中 。 
msdptrb_1 = MSDPTR_L (b 1); 
bn_1 = *msdptrb 1; 
while (bn 1 < BASEDIV2) 
{ 
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d++; 
bn 4 <<= i; 

} 

sbitsminusd = (int)(BITPERDGT - d); 

如 果 d>0, MA db 的 前 两 个 最 高 有 效 位 b, 16， ,将 被 计算 并 存储 在 bn 1 和 pn 2 中 。 
为 此 ， 我 们 必须 区 分 除数 和 恰好 为 2 位 或 者 多 于 2 位 的 情况 。 在 第 一 种 情况 下 ， 二 进 制 堆 
将 从 右 向 左 填 入 b,，, 中 ; 在 第 二 种 情形 下 ，b,， ,的 最 低 有 效 位 来 自 于 4b,，;。 

if (d > 0) 

{ 

bn 1 += *(msdptrb 1 - 1) >> sbitsminusd; 

if (DIGITS L (b 1) > 2) 

{ 
bn 2 = (USHORT)(*(msdptrb 1 - 1) << d) + (*(msdptrb 1 - 2) >> sbitsminusd); 
} 


else 


bn_2 = (USHORT)(*(msdptrb 1 - 1) << d); 
} 
} 


else 


bn_2 = (USHORT)(*(msdptrb 1 - 1)); 
} 

现在 ， 指 针 msdptrr 1 f lsdptrr_ 1 分 别 指 向 CLINIT 数组 工 L 中 (an Amtn—2 0" 
dni ne 的 最 高 和 最 低 有 效 位 ， 其 中 ，+ 1 代表 除法 的 余数 。 将 变量 上 1 的 qi, 位 置 为 0。 
指针 qptr 1 指向 商 的 最 高 位 。 

msdptrb 1 = MSDPTR L (b 1); 

msdptrr 1 = MSDPTR_L (r 1) + 1; 

lsdptrr 1 = MSDPTR L (T 1) = DIGITS L (b 1) + 1; 

*msdptrr 1 = 0; 

qptr 1 = quot 1 + DIGITS L (r 1) - DIGITS L (b 1) + 1; 

现在 进入 主 循环。 指针 lsdptrr 1 遍历 上 1 中 的 被 除数 的 数字 ans Ania, (KF 
的 ) 指 针 1 取 值 为 i 二 mx 十 n，*…，n。 

while (lsdptrr 1 >= LSDPTR L (r 1)) 

{ 

将 被 除数 的 (aia;-1"…a;_,)g 部 分 的 高 3 位 乘 以 比例 因子 并 分 别 存放 到 变量 ri、ri 1 
和 ri 2 中 ,这 是 确定 4 的 准备 步骤 。 被 除数 只 有 3 位 数 的 情况 被 当 作 特殊 情况 处 理 。 在 第 
一 次 循环 时 ， 至 少 出 现 3 位: 在 除数 上 至 少 有 2 位 的 假设 下 ， 被 除数 存在 最 高 位 ameni f 
& + sh Ee Qmt,AL BH r 1 初始 化 时 被 置 0。 

ri = (USHORT)((*msdptrr_1 << d) + (*(msdptrr 1 - 1) >> sbitsminusd)); 

ri 1 = (USHORT)((*(msdptrr 1 - 1) << d) + (*(msdptrr_1 - 2) >> sbitsminusd)); 

if (msdptrr 1 - 3 > r 1) /* there are four dividend digits */ 

a = (USHORT)((*(msdptrr 1 - 2) << d) + 

(*(msdptrr_1 - 3) >> sbitsminusd)); 


else /* there are only three dividend digits */ 
at = (USHORT)(*(msdptrr_1 - 2) << d); 
} 
现在 开始 确定 9， 并 将 之 存储 在 变量 qhat 中 。 根 据 算 法 的 步骤 4， 我 们 区 分 两 种 情况 
ri 天 bn 1( 多 数 情况 ) 和 ri= bn 1( 少 数 情况 ) 。 由 于 r/b<B, HM ri> bn 1 的 情况 被 排 
除了 。 因 此 将 6 设 为 L(FB 十 所 -1)/b, lt B-1 中 的 较 小 值 。 
if (xi l= W 1) /* almost always */ 
{ 
qhat = (USHORT)((rhat = ((ULONG)ri << BITPERDGT) + (ULONG)ri 1) / bn_1); 
right = ((rhat = (rhat - (ULONG)bn_1 * qhat)) << BITPERDGT) + ri 2; 
% bn 2*qhat> right. MA qhat BY AF 1, BEKF 2. 
if ((left = (ULONG)bn 2 * ghat) > right) 
{ 
ghat--; 
由 于 qhat 的 递减 ， 所 以 我 们 只 在 rhat= rhat bn 1< BASE 时 才 重 复 检验 (否则 ， 我 
们 将 得 到 bn 2*qhat< BASE’<rhat*BASE). 
if ((rhat + bn 1) < BASE) 
{ 
if ((left - bn 2) > (right + ((ULONG)bn 1 << BITPERDGT))) 
{ 
ghat--; 
} 
} 
} 
} 


else 
ri= bn 1 是 第 二 种 少见 的 情况 。 首 先 将 6 设 为 值 BASE- 1= 2%- 1= BASEMINONE. 
在 这 种 情况 下 ， 对 于 rhat， 有 rhat= ri*BASE+ ri 1- qhat*bn 1= ri 1+ bn 1. X 
在 rhat< BASE 的 情况 下 才 判 断 qhat 的 值 是 否 太 大 。 否 则 ， 我 们 就 已 经 有 bn 2*qhat< 
BASE 适 rhatxBASE。 在 上 述 条 件 相 同时 ， 将 再 次 对 qhat 进行 测试 。 
{ 
qhat = BASEMINONE ; 
right = ((ULONG)(rhat = (ULONG)bn 1 + (ULONG)ri 1) << BITPERDGT) + ri 2; 
if (rhat < BASE) 
{ 
if ((left = (ULONG)bn 2 * ghat) > right) 
{ 
ghat--; 
if ((rhat + bn 1) < BASE) 


{ 
if ((left - bn 2) > (right + ((ULONG)bn 1 << BITPERDGT))) 


{ 
ghat--; 
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然后 是 从 被 除数 的 部 分 :二 (aia;_1…ai_,)B PRE qhat。0，x 后 来 会 被 这 个 计算 出 
来 的 差 代 替 。 有 两 点 需要 注意 : 

e 积 qhat。b; 可 能 有 两 位 。 这 两 位 此 时 存储 在 ULONG 类 型 的 变量 carry P. carry 
的 高 位 字 作 为 次 高 位 数字 减法 的 进位 。 

e 对 于 qhat 大 于 1 从 而 使 差 u 一 qhat。b 为 负数 的 情况 ， 将 计算 值 w =B! H+Hu— 
qhab。，b， 其 结果 将 模 BHA uh Bw Mead, 以 此 作为 一 种 预防 手段 。 在 做 
减法 以 后 的 最 高 位 ii1 放 在 ULONG 类 型 变量 borrow 的 最 高 位 。 最 后 ， 如 果 
u ii 天 0， 则 qhat 的 值 大 了 1。 这 种 情况 下 ， 结 果 将 通过 执行 加 法 uu +b mod 
BY! 进行 修正 。 

borrow = BASE; 

carry = 0; 

for (bptr 1} = LSDPTR 上 (b 1), rptr 1 = lsdptrr 1; 

bptr 1 <= msdptrb 1; bptr_l++, rptr_1++) 
n (borrow >= BASE) 


{ 
*rptr_1 = (USHORT)(borrow = ((ULONG)*rptr_1 + BASE - 
(ULONG) (USHORT) (carry = (ULONG)*bptr 1 * 
qhat + (ULONG)(USHORT)(carry >> BITPERDGT)))); 


else 
{ 
*rptr_1 = (USHORT) (borrow = ((ULONG)*rptr_1 + BASEMINONEL - 
(ULONG) (USHORT) (carry = (ULONG)*bptr 1 * qhat + 
(ULONG) (USHORT) (carry >> BITPERDGT)))); 
} 


} 
if (borrow >= BASE) { 


*rptr 1 = (USHORT)(borrow = ((ULONG)*rptr_1 + BASE - 
(ULONG) (USHORT) (carry >> BITPERDGT))); 
} 


else 


*rptr_1 = (USHORT)(borrow = ((ULONG)*rptr_1 + BASEMINONEL - 
(ULONG) (USHORT) (carry >> BITPERDGT))); 
} 
执行 了 一 个 可 能 的 修正 后 ， 将 商 存 储 。 
*qptr 1 = ghat; 
如 之 前 所 述 ， 现 在 对 商 值 是 否 多 1 做 一 个 检验 。 这 是 极 罕 见 的 情况 (后 面 将 进一步 介 
绍 特殊 的 检验 数据 )，ULONG 类 型 的 变量 borrow 的 高 位 字 等 于 0 时 表示 出 现 这 种 情况 ， 即 
borrow 二 BASE。 如 果 是 这 种 情况 ， 则 计算 wu<-u 十 b mod B+! (EL), 
if (borrow < BASE) 
{ 
carry = 0; 
for (bptr 1 = LSDPTR_L (b_1), rptr 1 = lsdptrr 1; 
bptr 1 <= msdptrb 1; bptr_l++, rptr_1++) 
{ 


*rptr 1 = (USHORT)(carry = ((ULONG)*rptr_1 + (ULONG)(*bptr 1) + 
(ULONG) (USHORT) (carry >> BITPERDGT))); 
} 

*rptr_1 += (USHORT)(carry >> BITPERDGT) ; 

(*qptr_l)--; 

} 

现在 指针 指向 余数 和 商 ， 我 们 将 返回 到 主 循 环 的 开始 。 

msdptrr 1--; 

lsdptrr 1--; 

qptr 1--; 

} 

余数 和 商 的 长 度 已 经 确定 下 来 。 商 的 位 数 至 多 比 被 除数 位 数 减 去 除数 位 数 的 差 大 1。 
余数 的 位 数 至 多 与 除数 的 位 数 相同 。 两 种 情况 都 可 以 通过 移 去 前 导 零 得 到 准确 的 长 度 。 

SETDIGITS L (quot 1, DIGITS L (r 1) - DIGITS L (b 1) + 1); 

RMLDZRS L (quot 1); 

SETDIGITS L (r 1，DIGITS L (b 1)); 

cpy 1 (rem 1, r 1); 

return E CLINT OK; 

在 “ 短 除 法 ”的 情况 下 ， 除 数 只 含有 数字 mm ， 此 时 两 个 数字 (rai)a MEDAR, HPF, 
a; 遍历 被 除数 的 所 有 数字 ; 初始 化 为 r<-0， 之 后 用 差 赋值 为 r< 7rai)8 一 900。 iir 由 
USHORT 类 型 变量 rv 表示 。(ra;)s 的 值 存储 在 ULONG 类 型 的 变量 rhat P. 

shortdiv: 

ty = 0; 

bv = *LSDPTR_L (b_1); 

for (rptr_1 = MSDPTR_L (z 1), gptr_1 = quot l + DIGITS L (Z 1); 

rptr 1 >= LSDPTR L (r 1l); rptr 1--, qptr 1--) 
{ 
*qptr 1 = (USHORT)((rhat = ((((ULONG)rv) << BITPERDGT) + (ULONG)*rptr 1)) / bv); 
rv = (USHORT)(rhat - (ULONG)bv * (ULONG)*qptr 1); 
} 
SETDIGITS L (quot 1, DIGITS L (r 1)); 
RMLDZRS L (quot 1); 


u2clint 1 (rem 1, rv); 


return E_CLINT OK; 


} 
除法 的 运算 时 间 为 1 二 OCmn)， 这 与 乘法 很 相似 ， 其 中 ，m All n 分 别 为 已 进 制 的 被 除 
数 和 除数 的 位 数 。 


下 面 ， 我 们 将 描述 带 余 除法 的 一 些 变 型 这些 变型 都 是 基于 一 般 的 除法 函数 。 首 先是 
CLINT 类 型 的 被 除数 除 以 USHORT 类 型 除数 的 一 个 除法 混合 版 本 。 对 此 ， 我 们 再 次 用 到 了 郴 
数 div 11() 的 小 除法 例 程 ， 对 它 的 应 用 几乎 没有 改变 其 自身 函数 ， 因 此 这 里 ， 我 们 只 给 出 
图 数 的 接口 。 











功能 : 一 个 CLINT 类 型 数 除 以 一 个 USHORT 类 型 数 的 除法 


Wik: int udiy 1 (CLINT dy l; USHORT uds; CLINT q 1,CLINT r 1); 
输入 : dv 1( 被 除数 )，uds( 除 数 ) 
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输出 : q 1( 商 )，r 1( 余 数 ) 


返回 : E CLINT _ OK， 如 果 成 功 
E CLINT DBZ， 如 果 除 数 为 0 





我 们 曾经 指出 ， 对 某 些 除法 运算 ， 商 是 不 需要 的 ， 我 们 只 对 余数 感 兴趣 。 虽 然 这 不 会 
太 费 时 间 ， 但 在 这 种 情况 下 ， 传 递 一 个 指针 来 存储 商 是 件 很 烦人 的 事情 。 所 以 产生 了 一 个 
单独 计算 余数 或 “剩余 ”的 函数 。 应 用 这 一 函数 的 数学 背景 将 在 第 5 章 中 详细 讨论 。 


: 取 余 ( 模 即 约 简 ) 
; int med 1 (CLINT d_1, CLINT n 1, CLINT r 1); 
: dv 1( 被 除数 ) n 1( 除 数 或 者 模 ) 
: r (RX) 
: E CLINT OK， 如 果 成 功 
E CLINT DBZ， 如 果 除 数 为 0 





求 模 2 WE CBN 2 ) 的 余数 比 一 般 情 况 更 为 简单 ， 值 得 单独 为 它 写 一 个 函数 实现 。 在 被 
除数 除 以 2 的 除法 中 ， 得 到 的 余数 由 截 去 被 除数 第 位 之 后 的 位 数 构成 , & 从 0 开始 计 
数 。 这 种 截断 相当 于 被 除数 与 2 一 1 二 (111…11) 按 位 连接 ， 即 由 被 除数 与 & 个 二进制 1 
逻辑 与 (参见 7. 2 节 )。 该 运算 主要 关注 表达 式 中 也 进 制 的 被 除数 包含 的 第 & 位 ;与 更 高 位 
无 关 。 为 了 更 好 地 表明 除数 ， 下 列 函 数 mod2_1 () 只 传人 指数 参数 k. 


THRE: 模 2 ARRAGA 2" 的 约 简 ) 
语法 。int mod2 1 (CLINT d 1, ULONG k; CLINT r 1); 


输入 : Q_1( 被 除数 ) ，k( 除 数 / 模 数 的 指数 ) 





输出 : r 1( 余 数 ) 
int 
mod2 1 (CLINT d 1, ULONG k, CLINT r 1) 
{ 

int i's 


由 于 24 之 0， 所 以 不 用 检验 除数 是 否 为 0。 首 先 将 d_1 赋值 给 r 1， 再 检验 上 是 否 超过 
CLINIT 数 的 最 大 二 进 制 长 度 ， 若 超过 则 函数 终止 。 

cpy_1 (rl, dl); 

if (k > CLINTMAXBIT) 

return E CLINT OK; 

HEr 1， 并 存 入 i PHAR. wRIKFr 1 的 数字 ， 则 算法 完成 。 

i = 1 + (k >> LDBITPERDGT); 

if (i > DIGITS L (r 1)) 

return E CLINT OK; 

现在 ， 把 已 确定 的 r 1 的 数字 (从 1 开始 ) 与 值 Xm meaver 一 ]( 在 这 个 实现 中 二 2.™416 一 ]) 
进行 与 操作 。r 1 新 的 长 度 二 存储 在 + 1[0] 中 。 移 除 前 导 零 后 ， 函 数 结束 。 

r l[i] &= (1U << (k & (BITPERDGT - 1))) - 1U; 

SETDIGITS L (r 1, i); 


RMLDZRS L (r 1); 
return E CLINT OK; 


— 


这 里 介绍 一 种 求 余数 的 混合 变种 ， 它 使 用 USHORT 类 型 的 除数 得 到 USHORT 类 型 的 余 
数 。 这 里 仅 给 出 接口 ， 读 者 可 以 查询 FLINT/C 的 源 代 码 。 





: CLINT 类 型 的 被 除数 除 以 USHORT 类 型 的 除数 的 取 余 
: USHORT umod 1 (CLINT dv 1, USHORT uds, ); 


: dv 1( 被 除数 ) ，usd( 除 数 ) 
0xFFFF， 如 果 除 数 为 0 





为 检验 除法 (和 检验 其 他 函数 一 样 )， 需 要 考虑 一 些 细 市 (参见 第 13 章 )。 特 别 地 ， 显 
式 检验 步骤 5 是 很 重要 的 ， 尽 管 在 随机 选择 测试 用 例 的 情况 下 ， 它 出 现 的 概率 仅 为 2/B 
(在 我 们 的 算法 实现 中 为 2 “) (参见 LKnutj4. 3.14, 练习 21)。 

下 面 给 出 的 被 除数 a 和 除数 4 以 及 与 之 相关 的 商 g 和 余数 r 有 这 样 的 作用 : 与 除法 算 
法 步骤 5 相关 的 程序 序列 将 运行 2 次 ， 所 以 可 以 作为 这 一 特殊 情况 的 检验 数据 。 与 这 一 特 
性 相关 的 其 他 值 包 含 在 检验 程序 testdiv.c 中 。 

下 面 的 检验 数据 以 16 进 制 显 示 ， 从 右 往 左 升序 排列 ， 没 有 给 出 数 的 长 度 : 

除法 步骤 5 的 检验 值 : 


2 一 e3 7d 3a bc 90 4b ab a7 a2 ac 4b 6d 8f 78 2b 2b f8 49 19 
d2 91 73 47 69 0d 9e 93 dc dd 2b 91 ce e9 98 3c 56 4c f1 
31 22 06 c9 le 74 d8 Ob a4 79 06 4c 8f 42 bd 70 aa aa 68 
9f 80 d4 35 af c9 97 ce 85 3b 46 57 03 c8 ed ca 


b= 08 Ob 09 87 b7 2c 16 67 c3 Oc 91 56 a6 67 4c 2e 73 e6 la 
1f d5 27 d4 e7 8b 3f 15 05 60 3c 56 66 58 45 9b 83 cc fd 
58 7b a9 b5 fc bd c0 ad 09 15 2e Oa c2 65 


q=1c 48 al c7 98 54 la e0 b9 eb 2c 63 27 bl ff ff £4 fe 5c 
Oe 27 23 


r>—ca 23 12 fb b3 £4 c2 3a dd 76 55 e9 4c 3410 bl 5c 60 64 
bd 48 a4 e5 fc c3 3d df 55 3e 7c b8 29 bf 66 fb fd 61 b4 
66 7f 5e d6 b3 87 ec 47 c5 27 2c f6 fb 
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每 一 个 好 故事 都 会 在 孝感 的 读者 心里 留 下 无 形 的 快乐 .…… 
Willa Cather, (Not Under Forty) 





本 章 对 带 余 除法 的 原理 进行 讨论 。 关 于 这 一 原理 ， 我 们 需要 解释 余数 的 意义 、 它 们 可 
能 的 应 用 ， 以 及 如 何 运 用 它们 进行 计算 。 为 了 理解 稍 后 介绍 的 函数 公式 ， 我们 先 从 一 些 代 
数 演算 开始 。 

我 们 可 以 看 到 ， 对 于 一 个 a€ Z 除 以 0 二 mE€ NN 的 带 余 除 法 ， 有 唯一 表示 : 

a=qm+r OZr 过 mh 
其 中 , 了 叫 作 a 除 以 m 的 余数 或 者 a 模 m WHA. ARAN A (ar) Km 整除 ， 或 者 用 以 
下 面 的 数学 符号 表示 : 
m|Ca—r) 
Gauss 对 这 种 表示 给 出 了 一 个 新 的 符号 ， 它 与 等 号 类 似 ， 记 作 ” : 
a =r mod m 

ZME a 5r 模 m 同 余 ) 

与 模 自 然 数 m 同 余 是 自然 数 集合 上 的 一 个 等 价 关 系 。 这 意味 着 满足 m| (a 一 5) 的 整数 
对 集合 RR := 二 {(a,， b) |a=b mod m} 具 有 下 列 可 以 直接 从 带 余 除法 中 得 到 的 性 质 : 

D RRES A: 对 任 一 整数 a，(a， a) R 的 一 个 元 素 ， 即 a=a mod m, 

2) R 具有 对 称 性 : Ala, 5) 在 尺 集合 中 ， 那 么 (5，a) 也 在 尺 集合 中 ， 即 大 a=b mod 
m, Wl] b=a mod m., 

3) 尺 具 有 传递 性 : WR, DH, QERRET, PAC, OhEREA, B 
若 a=b mod m, b=c mod m, Mij a=c mod m., 

等 价 关系 R 将 整数 集 划 分 成 不 相交 的 集合 ， 叫 作 等 价 类 : 给 定 一 个 余数 + 和 一 个 自然 
数 m >0, 有 集合 : 

F= {ala =r mod m} 

也 可 用 符号 rtm Z RN. MER m 的 x RRA. ANKER T MARA m ar 的 整数 。 

看 这 个 例子 : &m=7, r=5; MRA 7 R 5 的 整数 集 是 一 个 剩余 类 

= 二 F561 

两 个 模 同 一 个 数 m 的 剩余 类 要 么 相同 要 么 互 斥 ?>。 因 此 ， 一 个 剩余 类 可 以 被 其 中 任意 
一 个 元 素 唯 一 标识 。 因 此 称 一 个 剩余 类 中 的 任 一 元 素 为 代表 元 ， 这 个 数 可 以 代表 一 个 剩余 
类 。 两 个 剩余 类 相等 等 价 于 给 定 的 两 个 模 的 代表 元 相等 。 由 于 经 过 带 余 除法 后 得 到 的 余数 
总 是 比 除数 小 ， 所 以 对 任 一 整数 mx， 只 存在 有 限 多 的 模 m 的 剩余 类 。 


© Carl Friedrich Gauss，1777 一 1855， 是 历史 上 最 伟大 的 数学 家 。 他 在 数学 和 自然 科学 领域 有 很 多 意义 重大 的 
发 现 ， 特别 是 ， 在 他 24 岁 时 发 表 的 著名 的 《Disquisitiones Arithmeticae) (@ RGIS). BATE LAR BIE Hy 2 
基石 。 

O ”两 个 集合 互 斥 ， 当 上 且 仅 当 它 们 没有 相同 的 元 素 ， 或 者 它们 的 交集 为 空 集 。 
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现在 我 们 来 看 看 进行 这 种 广泛 讨论 的 原因 : 剩余 类 是 一 种 可 以 利用 它们 的 代表 元 作为 
代数 运算 的 对 象 。 剩 余 类 的 计算 对 代数 学 、 数 论 ， 乃 至 编码 学 和 现代 密码 学 都 有 重大 的 意 
XL. RFX. 我们 尝试 从 代数 的 角度 阐述 模 运 算 。 

Sa, by m AER, m>0, MFRS m 的 剩余 类 和 和 65， 我 们 定义 关系 式 “十 ” 
和 “. ”为 (剩余 类 的 ) 加 法 和 乘法 ， 使 它们 看 起 来 像 整 数 运算 中 的 命名 : 

ePb aT RR RES Tay 
“ 0: 一 a。6( 类 的 乘积 等 于 乘积 的 类 ) 

mh RAE LO, 因为 两 者 的 结果 都 是 一 个 模 m 的 剩余 类 。 模 m 的 剩余 类 
RA Zn? ee 个 模 mx 的 剩余 类 } 与 上 述 两 关系 式 一 起 形成 一 个 有 单位 元 的 有 限 交 换 
KCL ms +: ， 特 别 地 ， 其 满足 下 列 公理 : 

Emin 

Z 中 的 两 个 元 素 的 和 依然 在 Z, 中 。 

2) 加 法 结合 律 : 

对 于 Z, PERIH a, b, T, A a+(+ce)=(+5) +r. 

3) 存在 一 个 加 法 单位 元 : 

FZ, 中 任意 元 素 ， 有 4 十 0 二 a。 

4) 存在 一 个 加 法 逆 元 : 

对 于 ZZ, 中 的 任 一 元 素 ， 必 定 在 Z, 中 存在 一 个 唯一 元 素 5， 有 a 十 6 二 0。 

5) 加 法 交换 律 : 

WZ, 中 任意 元 素 <、6， 有 a 十 6 二 6 十 a。 

6) 对 乘法 是 封闭 的 : 

Z 中 的 两 个 元 素 的 乘积 依然 在 Z, 中 。 

7) REHASH. 

对 于 ZZ, PERCHA. b, T, Ha. b+ O=G=*b) Ee, 

8) 存在 一 个 乘法 单位 元 : 

对 于 ZZ 中 任意 元 素 4， 有 a&a*1=a 


9) 乘法 交换 律 : 
关于 
10) Æla “4 ) 中 ， 分 配 律 为 : «e (b+0)=ū ° ba s Ca 


根据 性 质 1 到 性 质 +, Gta... Tii 个 交换 群 ， 术 语 交 换代 表 加 法 交换 律 。 
从 性 质 4 我 们 可 以 定义 也, 中 的 减法 ， 也 就 是 说 ， 引 入 逆 元 的 概念 : 如 果 < 是 0 的 加 法 弟 
元 ， 则 5 十 c= 二 0， 因 此 ， 对 于 任 一 元 素 a€ Z,， 我 们 可 以 定义 

a—b:=a+7 

在 (了 ,，。) 中 ， 和 群 法 则 6、7、8、9 也 适用 于 乘法 ， 其 中 1 为 乘法 单位 元 。 然 而 ， 在 
Z 中 ， 每 个 元 素 不 一 定 存在 一 个 乘法 道 元 ， 因 此 一 般 地 ，(Z,，。…) 不 是 一 个 群 ， 仅 仅 
一 个 有 单位 元 的 可 交换 半 群 >。 然 而， 如 果 我 们 从 Z, 中 除去 所 有 与 mr 的 公约 数 大 于 1 
的 元 素 ， 我们 就 可 以 得 到 一 个 关于 乘法 的 交换 群 (参见 10. 2 节 )。 特 别 地 ， 这 个 不 包含 0 
的 结构 被 叫 作 既 约 剩余 系 ， 表 示 为 (Z”，。…)， 


9 -MERCH IFE. NBM SERA 及 上 存在 结合 关系 * 。 
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从 之 前 的 结果 看 ， 类 似 (Z*””，…) 的 代数 结构 的 意义 可 以 通过 一 些 著 名 的 交换 环 举 
APH: 整数 集合 Z 、 有 理 数 集合 Q@ 和 实数 集合 民 都 是 有 单位 元 的 交换 环 ( 实 际 上 ， 实 
数 构成 了 一 个 域 ， 表 明 它 有 其 他 的 内 部 结构 )， 其 区 别 是 这 些 环 是 无 限 的 。 由 于 上 述 有 
限 环 的 运算 规则 经 常 使 用 所 以 被 大 家 熟知 。 我 们 将 在 第 13 章 再 回头 看 一 看 这 些 规 则 ， 
并 证 明 其 用 于 测试 运算 函数 是 真实 可 信 的 。 在 这 一 章 中 我 们 仅仅 介绍 一 些 重要 的 先决 
TE 

为 了 使 用 剩余 类 进行 计算 ， 我们 完全 依赖 于 类 的 代表 元 。 对 于 每 一 个 模 m 的 剩余 类 ， 
我 们 选择 其 中 一 个 代表 元 ， 因 此 组 成 一 个 完全 剩余 系 ， 所 有 的 模 m 的 运算 都 在 此 上 进行 。 
模 m 的 最 小 非 负 完全 剩余 系 是 集合 Ra :二 10，1，…，m 一 1}。 者 Rae 中 的 数 r 满足 


l ~ 
—Sm<r<sm, 则 称 作 模 m 的 最 小 绝对 完全 剩余 系 。 


看 一 个 例子 ,我 们 考虑 Zz 一 {0，I，…，25)。 模 26 的 最 小 非 负 剩余 系 是 Ro, == {0， 
1，…，25}， 模 26 的 最 小 绝对 剩余 系 是 集合 { 一 12， 一 11，…，0，1，…，13}。 剩 余 类 
运算 和 剩余 系 模 运 算 的 关系 可 以 通过 下 式 表 示 : 

18 +24 = 18} 24 = 16 





等 价 于 
18+ 24 = 42 = 16 mod 26 
而 
9— 15 = 9+11 = 20 
等 价 于 


9— 15 = 9 +11 = 20 mod 26 
ih it FAK ZRI RERA Za UL ASCH 码 ， 可 以 计算 字符 。Julius 
Caesar 发 明了 一 个 简单 的 编码 系统 ， 这 个 系统 将 Zz 中 的 一 个 常量 与 文本 中 的 每 个 字母 相 
加 ， 据 说 他 更 喜欢 把 常量 定 为 3。 字 母 表 中 的 每 个 字母 向 右 移 常量 位 ， 如 X 到 A、Y 到 B、 
Za G*, 
对 剩余 类 环 的 计算 可 以 利用 表 5-1 和 表 5-2 IW ORR, EM HERS Zs 中 
的 “十 ”运算 和 ““。” 运 算 。 


表 5-1 模 5 加 法 运算 的 复合 表 表 5-2 模 5 乘法 运算 的 复合 表 





剩余 类 集合 是 有 限 的 ， 这 一 事实 使 其 在 诸如 整数 环 这 种 有 限 结 构 上 具有 一 定 的 优势 ， 
例如 ， 如 果 为 计算 机 运算 选择 了 一 个 合适 的 剩余 类 代表 元 ,那么 计算 机 程序 里 的 算术 表达 
式 的 结果 就 不 会 溢出。 这 个 运算 ， 即 执行 函数 mod 1 () ， 称 为 ( 模 思 ) 约 简 。 因 此 ， 我 们 可 
以 使 用 一 个 模 m 的 完全 剩余 系 计算 有 界 表示 的 FLINT/C 库 中 的 数 和 函数 ， 只 要 m< 
Nax。 我 们 总 是 选择 正 的 代表 元 并 且 依 赖 非 负 的 剩余 系 。 因 为 剩余 类 的 这 些 性 质 ， 所 以 


© Bh AulusGellius)XIl. 9 和 《Suetonius，Caes》LVI。 
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FLINT/C 库 在 大 数 的 CLINT 表示 方面 表现 良好 (除了 一 些小 的 方面 )， 我 们 将 在 之 后 进行 
细节 讨论 。 

对 剩余 类 的 算法 理论 已 经 讲 得 很 多 了 。 现 在 我 们 来 开发 我 们 的 模 算术 函数 。 首 先 ， 我 
们 回顾 4. 3 节 中 提 到 的 函数 mod 1() 和 mod2 1()， 它 们 分 别 返回 模 m 和 模 2 的 约 简 余 
数 。 然 后 ， 我 们 介绍 模 加 法 、 模 减法 、 模 乘法 和 模 平 方 。 由 于 模 索 运算 的 特殊 算法 复杂 
性 ， 所 以 我 们 将 专门 用 另 一 章 进 行 讨论 。 在 不 引起 混淆 的 情况 下 ， 我 们 去 掉 符 号 a 上 的 横 
线 ， 用 代表 元 a 来 表示 a 所 在 的 剩余 类 。 

模 运 算 函 数 的 过 程 实际 上 包含 两 步 : 首先 由 对 应 的 非 模 函数 对 操作 数 进行 运算 ， 其 次 
用 带 余 除法 执行 一 次 模 约 简 。 然 而 ， 必 须 注 意 中 间 结果 可 能 达到 2MAXs 数字 ， 这 是 由 于 
它们 的 长 度 ， 或 者 在 减法 情况 下 ， 负 号 不 能 用 CLINT 对 象 表示 导致 的 。 我 们 之 前 把 这 些 情 
Cit ll PK AE Yat AP Yat. SEAS FER pK BAA hb BEE Yat AF de A Ll. EFL P e Ba FR R 
CNinax + 1) fal (BOL 3 章 和 第 4 章 )。 如 果 整 个 模 运 算 能 用 CLINT 类 型 表示 ， 这 将 会 起 
作用 。 为 了 在 这 些 情况 下 获得 正确 的 结果 ， 我 们 将 从 基本 运算 的 函数 中 抽出 加 法 、 减 法 、 
HEA AF Fr HY AK PKA 


void add (CLINT, CLINT, CLINT); 
void sub (CLINT, CLINT, CLINT); 
void mult (CLINT, CLINT, CLINT); 
void umul (CLINT, USHORT, CLINT); 
void sqr (CLINT, CLINT); 


之 前 我 们 提 到 过 ， 核 函数 包含 从 函数 add 1(). sub 1(), mul 1() 和 sar 1() PR 
取 的 算术 运算 。 这 些 函 数 中 剩 下 的 功能 是 简单 的 去 除 前 导 零 、 支 持 累 积 运 算 、 处 理 可 能 的 
上 溢 或 者 下 洲 ， 以 及 对 实际 算法 操作 的 核 函 数 的 调用 。 这 些 之 前 出 现 的 函数 的 语法 和 语义 
并 没有 改变 ， 函 数 依然 可 以 照 描 述 调 用 ， 

作为 乘法 函数 mul 1() 的 一 个 例子 ， 以 上 过 程 帮 助 我 们 实现 下 面 的 函数 mul 1() (就 
这 一 点 ， 参 见 第 4 章 函 数 mul 1() 的 实现 )。 


: 来 法 
: int mul_1 (CLINT EL l; CLINT f2 1, CLINT pp 1); 
¢ £1 1, £2 URS? 


: pp 1( 积 ) 
: E CLINT OK， 如 果 成 功 
E CLINT OFL， 如 果 上 洪 





int 
mul 1 (CLINT f1_1, CLINT f2_1, CLINT pp 1) 
{ 
CLINT aa 1, bb l; 
CLINTD p l; 
int OFL = E CLINT OK; 
清除 前 导 零 并 支持 累积 运算 。 
cpy :1 (aa_l, f1_1); 
epy 1 (bb 1, £2_1); 
mult (aa_l, bb 1, p 1); 
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检查 和 处 理 上 溢 。 
if (DIGITS L (p 1) > (USHORT)CLINTMAXDIGIT) /* overflow ? */ 
{ 
ANDMAX_L (p 1); /* reduce modulo (Nmax + 1) */ 
OFL = E_CLINT_OFL; 
} 
cpy_l (pp: ls; p1); 
return OFL; 


} 

对 于 剩 下 的 函数 add 10, sub 1() 和 sqr 1()， 改变 是 相似 的 。 它 们 的 算术 核 函数 
没有 包含 新 的 组 件 ， 所 以 无 需 在 这 里 给 出 。 更 多 细节 请 查看 flint.c 的 实现 。 

JX LEAK PRIA FREE dant + FALE AT AS AAT BE Nin FDA fa. ET ea FLINT/C 函数 
内 部 使 用 ， 因 此 声明 为 static。 然 而 ， 必 须 注意 在 使 用 它们 时 ， 它 们 并 不 具备 处 理 前 导 
零 和 累积 运算 的 能 力 ( 见 第 3 章 )。 

sub () 的 使 用 需要 假定 差 为 正 数 。 否 则 ,结果 将 是 未 定义 的 。 关 于 这 点 ，supb () 中 没 
有 相应 的 控制 。 最 后 ， 正 在 调用 的 函数 必须 为 过 大 的 中 间 结 果 提 供 充 分 的 存储 空间 。 特 别 
SH, sub () 要 求 结果 变量 与 用 于 表示 被 减 数 的 存储 空间 至 少 一 样 大 。 现 在 ,我 们 为 探讨 模 
运算 函数 madq 1()、msub 1()、mmul 1() 和 msqr 1() 做 好 了 准备 。 


: 模 加 法 
: int madd_1 (CLINT aa Llys CLINT bb 1, CLINT BG dJa CLINT 1) 3 
: aa l, bb 1( 加 数 )，m 1( 模 数 ) 


: c 1( 余 数 ) 
: E CLINT OK， 如 果 成 功 
E CLINT OFL， 如 果 除 数 为 0 





int 
madd 1 (CLINT aa 1, CLINT bb 1, CLINT c 1, CLINT m 1) 
{ 
CLINT al, b l; 
clint tmp _1[CLINTMAXSHORT + 1]; 
if (EQZ L (m 1)) 
{ 
return E CLINT DBZ; 
} 
cpy 1 (al, aa 1); 
cpy_ 1 (b 1, bb 1); 
if (GE L (a 1, m1) || GE L (b 1, m1)) 
{ 
add (a 1, b 1, tmp 1); 
mod 1 (tmp 1, m1, c 1); 
} 


else 


如 果 a 1 和 b 1 都 小 于 m 1， 我 们 将 省 略 进 行 一 次 除法 。 
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{ 
add (a 1, b l, tmp 1); 


if (GE L (tmp 1, m 1)) 
{ 
sub 1 (tmp 1, m1, tmp 1); /* underflow excluded */ 


} 

在 调用 函数 sub 11() 前 需要 注意 一 些 事项 : 我 们 输入 的 sub 1() 的 参数 tmp 1 是 由 a 
lf b 1 的 和 得 到 的 ， 它 可 能 比 所 允许 的 常数 MAX, 多 1 位 数 。 在 函数 sub 1() 的 内 部 ， 只 
要 我 们 为 结果 多 提供 1 位 存储 空间 ， 该 函数 就 不 会 失败 。 因 此 ,为 应 对 上 述 情 况 ， 把 结果 
存储 在 tmp 1 中 ， 而 不 是 立即 存储 在 c 1 中 。 由 于 这 些 原 因 ， 在 sub 1() 的 最 后 ， 我 们 将 得 
到 至 多 含有 MAX, 位 的 tmp 1。 

cpy_l (c_l, tmp 1); 
} 


return E_ CLINT OK; 
} 


为 了 使 运算 保持 在 一 个 正 的 剩余 类 中 ， 模 减法 函数 msub 1() 仅 用 了 函数 add 11()、 
sub 1() 和 mod 1() 的 正 的 中 间 结 果 。 


: 模 减 法 
: int msub 1 (CLINT aa 1, CLINT bb l, CLINT c _1,CLINTm 1); 
: aa 1( 被 减 数 ), bb 1 ms). m 1( 模 数 ) 


~ c 1( 余 数 ) 
: E CLINT OK， 如 果 成 功 
E CLINT OFL， 如 果 除 数 为 0 





int 
msub 1 (CLINT aa 1, CLINT bb 1, CLINT c 1, CLINT m 1) 
{ 
CLINT al, b 1, tmp 1; 
if (EOZ L (m 1)) 
{ 
return E CLINT DBZ; 
} 
Gpy 1 (al, iaa 1)s 
cpy_1 (b 1, bb 1); 
我 们 分 别 讨论 a IEb 1 和 al<b 1 的 情形 。 第 一 种 情形 是 标准 情形 ; 第 二 种 情形 ， 
我 们 计算 (b l-a 1)， 再 进行 模 m 1 约 简 ， 然 后 减 去 正 的 余数 。 
if (GE L (al, b1)) ffal-b1S oO */ 
{ 
sub (a 1, b 1, tmp 1); 
mod 1 (tmp 1, ml, c 1); 


} 
else feal= PEE kii 
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{ 
sub (b 1, a1, tmp_1); 
mod 1 (tmp_1, m1, tmp_1); 
if (GTZ_L (tmp_1)) 


{ 
sub (m1, tmp 1, c_1); 
} 
else 
{ 
SETZERO L (c_1); 
} 
} 
return E CLINT OK; 


} 
现在 讨论 模 乘 法 函数 mmul 1 () 和 模 平 方 函数 msqr 1 ()， 我 们 只 给 出 模 乘 法 的 函数 实现 。 


: AR HR IK 
: int mmul 1 (CLINT aa 1, CLINT bb 1, CLINT c_1,CLINTm 1); 
: aa_l. bb AF), m 1( 模 数 ) 


: c 1( 余 数 ) 
: CLINT OK， 如 果 成 功 
E CLINT OFL， 如 果 除 数 为 0 





int 
mmul 1 (CLINT aa 1, CLINT bb 1, CLINT c 1, CLINT m 1) 
{ 

CLINT at; bit; 

CLINTD tmp 1; 

if (EQZ_L (m_1)) 

{ 
return E CLINT DBZ; 


} 
cpy_1 (al, aa 1); 
cpy 1 (b 1, bb 1); 
mult (a 1, b 1, tmp 1); 
mod 1 (tmp 1, m1, cl); 
return E CLINT OK; 
} 
由 于 模 平 方 函数 与 模 乘 法 相似 ， 所 以 只 给 出 该 函数 的 函数 接口 。 


: REA 
: int msqr 1 (CLINT aa 1, CLINT c 1,CLINTm 1); 
: aa 1(A TF), m 1( 模 数 ) 


: c 1( 余 数 ) 
: E CLINT OK， 如 果 成 功 
E CLINT OFL， 如 果 除 数 为 0 
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里 介绍 的 函数 (当然 ， 除 了 模 平 方 函数 之 外 ) 都 有 一 个 对 应 的 混合 函数 ， 其 第 二 个 参 
sees USHORT。 我 们 介绍 函数 umadd_1() fF AHF. KÄ umsub_1 () 和 ummul_1 () 
遵循 相同 的 模式 ， 所 以 不 再 介绍 细节 。 





功能 : CLINT 类 型 的 数 加 上 USHORT 类 型 的 数 的 模 加 法 
语法 s int umada 1 (CLINT a l, USHORT b, CLINT c_1,CLINTm 1); 
输入 : a 1、b( 加 数 )，m 1( 模 数 ) 
输出 : c 1( 余 数 ) 
返回 : E CLINT OK， 如 果 成 功 
E CLINT OFL， 如 果 除 数 为 0 








int 
umadd 1 (CLINT a_l, USHORT b, CLINT c_1, CLINT m 1) 
{ 


int err; 
CLINT tmp 1; 
u2clint 1 (tmp 1, b); 
err = madd 1 (a_l, tmp 1, c l, m 1); 
return err; 
} 
以 USHORT 作为 参数 类 型 的 混合 函数 将 在 下 一 章 得 到 扩充 。 在 本 章 结 尾 ， 我 们 将 借助 
模 减 法 编写 一 个 有 用 的 辅助 函数 ， 它 判断 两 个 模 m 剩余 类 的 CLINT 类 型 的 代表 元 的 值 是 
否 相 等 。 下 面 的 函数 mequ 1 () 可 以 实现 这 一 点 ， 它 利用 同 余 关 系 定 义 : a=b mod mS 
m|(a—b), 
为 了 确定 两 个 CLINT 对 象 a 1 和 b 1 是否 模 m 1 等 价 ， 只 要 利用 函数 msub 1 (a 1,b 1,r_ 
l,m 1)， 并 判断 得 到 的 余数 r_1 是 否 等 于 0 即 可 。 


: 检验 模 m 等 价 
: int megu 1 (CLINT a 1, CLINT Ð 1, CLINT m 1); 
: al. b 1( 操 作 数 )，m 1( 模 数 ) 


: 1]， 如 果 a 1 和 b1 模 m1l 同 余 
0， 不 是 上 述 情 况 





int 
mequ 1 (CLINT a 1, CLINT b 1, CLINT m1) 
{ 
CLINT r 1; 
if (EQZ L (m 1)) 
{ 
return E CLINT DBZ; 
} 
msi l (al, BA, £1, RiR 
return ((0 == DIGITS | (r_1))?4:0); 
} 
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百川 归 海 : 横 需 运算 





HAL, ALAZAN hA 

我 站 立 了 很 久 ， 我 想 : 

“RBS -BBELBRA 

有 一 天 会 在 这 里 止步 

RAR MARS HA” 

但 是 我 已 做 好 了 决定 

纺 续 走 着 ， 我 产生 了 一 种 语 觉 

BEAN RAOK AAA ARA 

—— Ilya Bernstein, ( Attention and Man) 


ES RIE KIME., WE., FEAST RAL. FR MAA se LPIA HR. PERRIER 
中 ， 指 数 指定 底数 将 与 它 自 己 相 乘 的 次 数 。 通 常 ， 寡 运算 可 以 通过 递归 调用 乘法 的 方法 来 
执行 : HZ, 中 的 元 素 a， RMA a : 王 1，c :二 a* a'。 

很 容易 看 出 ， EZ» pe ed ee 第 1 章 ): 


etj 


g a a! =g, . 5° = tas DY, (a)! = a" 


6. 1 第 一 种 方法 


震 运 算 最 简单 的 方法 就 是 还 特 上面 定义 的 递归 规则 ， 将 撒 数 < Ae 次 。 该 方法 需要 
做 e 一 1 次 模 乘 运算 ， 这 对 我 们 要 达到 的 目的 来 说 实在 是 太 多 了 。 

下 面 的 例子 演示 了 一 种 更 有 效 的 实现 方法 ， 我 们 将 指数 用 二 进 制 来 表示 : 

a =a H 一 (((a2z)d)2a)24， a” =a” = (((@ PPY 
这 样 ， 计 算 底 数 的 15 KEMA m a 6 次 乘法 ， 而 不 是 第 一 种 方法 中 的 14 次 。 且 该 方 
法 中 一 半 的 运算 都 是 平方 运算 ， 我 们 知道 ， 计 算 平 方 所 需要 的 CPU 时 间 只 是 常规 乘法 的 
一 半 。 而 计算 底数 的 16 次 震 则 只 需要 4 次 平方 运算 就 可 以 完成 了 。 

在 进行 a 模 m 适 运 算 时 ,将 指数 用 二 进 制 表示 的 算法 一 般 情况 下 比 第 一 种 方法 更 有 
效 。 但 是 ， 首 先 我 们 必须 观察 到 ， 许 多 整数 乘法 会 产生 大 量 的 中 间 结 果 ， 这些 中 间 结 果 会 
一 个 接 一 个 地 迅速 耗 尽 大 部 分 计算 机 内 存 所 能 够 提供 的 存储 空间 。 从 pa! 可 以 得 出 
Ra F 这 样 我 们 就 知道 a eee a ak. SAIN, WRR I 

个 剩余 类 环 Z, 上 计算 a"， 那么 我 们 就 可 以 通过 模 乘 的 方法 来 避免 这 个 问题 。 事 实 

JCB) Fa ae A m san, 所 以 我 们 也 应 该 把 注意 力 集 中 在 这 种 情况 上 。 

令 C= (€y—1y—2 77 Co ) EIP e >O A e 的 二 进 制 表示 ， 那 么 接 下 来 的 二 进 制 算 
法 需要 [logse 」 二 nn 次 模 平方 以 及 6(e) 一 1 KERR., Hp 


O(e) :一 Se 
E e 的 二 进 制 表示 中 1 的 个 数 。 如 果 假 设 每 一 位 是 0 或 1 的 概率 相等 ， 那 么 8(e) 的 期 望 值 
为 w/2， 在 这 个 算法 中 我 们 需要 进行 乘法 运算 的 次 数 为 了 llogse J 


ef 
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a tim 壤 运 算 的 二 进 制 算法 


] ) A~ pea" t, 1en—? 


2) 4 p-p’ mod m 

3) 如 果 e=1, NIĄ p-p * a mod m 

4) 令 i<-i—1; Rio, WAAR 
5) 输出 力 。 





当 指 数 为 可 以 用 USHORT 类 型 表示 的 小 整数 时 ， 下 面 对 该 算法 的 实现 有 良好 的 效果 。 


: 指数 为 USHORT 类 型 的 混合 模 圭 运算 

int umexp 上 (CLINT bas 1, USHORT er CLINT p l, CLINT m 1); 
: bas 1( 底 数 ) 

el 指数 ) 


m 1( 模 数 ) 
: p 1( 需 剩余 ) 
: E CLINT OK， 如 果 成 功 
E CLINT DBZ， 如 果 除 数 为 0 





int 
umexp 1 (CLINT bas 1, USHORT e, CLINT p 1, CLINT m 1) 
{ 

CLINT tmp 1, tmpbas 1; 

USHORT k = BASEDIV2; 

int err = E CLINT OK; 


if (EQZ L (m 1)) 


{ 
return E CLINT DBZ; /* division by zero */ 
} 
if (EQONE L (m_1)) 
{ 


SETZERO L (p 1); /* modulus = 1 ==> remainder = 0 */ 
return E CLINT OK; 


if (e == 0) /* exponent = 0 ==> remainder = 1 */ 


SETONE L (p_1); 

return E CLINT OK; 

} 
if (EQZ L (bas 1)) 

{ 

SETZERO L (p 1); 

return E CLINT OK; 

} 
mod 1 (bas 1, m1, tmp 1); 
cpy 1 (tmpbas 1, tmp 1); 
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在 以 上 各 个 检测 之 后 ， 我 们 可 以 通过 下 面 的 方法 找到 指数 e 中 第 一 个 1 MEA, KH 
用 变量 上 表示 e 的 单个 二 进 制 数 字 的 掩 码 。 然 后 我 们 把 & 右 移 一 位 ， 相 应 地 在 算法 的 步骤 
1 中 令 1i<7 一 2。 

while ((e & k) == 0) 

{ 


k = i: 
} 
K jsa 15 
对 e 剩 下 的 数字 ， 我 们 执行 步骤 2 和 3。 这 里 k 作 为 循环 计数 器 ， 每 次 我 们 都 需要 将 
它 右 移 一 位 。 在 循环 中 ， 我 们 将 它 乘 以 底数 约 简 的 模 m 1。 
while (k != 0) 
{ 
msqr 1 (tmp 1, tmp 1, m1); 
if (e & k) 
{ 
mmul 1 (tmp 1, tmpbas 1, tmp_1, m 1); 
} 
Ko pee 45 
} 
cpy_1 (p_l, tmp 1); 
return err; 


} 

当 底 数 比 较 小 时 ， 该 二 进 制 求 容 算 法 会 显示 出 明显 的 优势 。 如 果 底 数 是 USHORT 类 
型 ， 那 么 步骤 3 中 的 模 乘 运算 ppa mod m 的 结果 就 是 类 型 CLINT * USHORT 模 CLINT, 
这 将 极 大 地 提高 计算 速度 ， 因 为 在 相同 的 情况 下 其 他 算法 依旧 需要 进行 两 个 CLINT 类 型 的 
乘法 。 乘 方 运算 确实 需要 两 个 CLINT 类 型 的 对 象 ， 不 过 这 里 我 们 可 以 使 用 优越 的 平方 
PRI BX 

lee. FERI K Se BE PK AX wmexp_ 1(), Eve umexp_1() WY Xt ew Be, BI 
umexp 11() 的 指数 是 USHORT 类 型 。 之 前 对 指数 各 位 取 掩 码 的 过 程 有 利于 我 们 理解 下 
面 这 个 “庞大 ”的 取 才 图 数 。 图 数 采 取 的 方法 是 ， 用 变量 b 一 个 接 一 个 地 检测 指数 的 
每 一 位 e;，b 的 最 高 有 效 位 初始 化 为 1， 每 检测 一 位 则 b 右 移 一 位 ， 这 样 循 环 直 到 b 
= Sa a 

下 面 的 函数 wmexp 1() 支 持 小 的 底数 和 最 大 1000 位 长 的 指数 。 与 我 们 将 在 后 面 介 绍 
的 通用 程序 相 比 ， 它 的 速度 快 了 大 约 10%. 


: 底数 为 USHORT 类 型 的 模 晨 运算 
: int wmexp 1 (USHORT bas, CLINT e 1, CLINT rest l, CLINT m 1); 
: bas( 底 数 ) 

e 14%) 


m 1( 模 数 ) 
: rest l(bas” mod m 1 的 余数 ) 
: E CLINT OK， 如 果 成 功 

E CLINT DBZ， 如 果 除 数 为 0 
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int 
wmexp 1 (USHORT bas, CLINT e 1, CLINT rest 1, CLINT m1) 
{ 

CLINT pl, zl; 

USHORT k, b, w; 

if (EQZ L (m 1)) 


{ 
return E CLINT DBZ; /* division by 0 */ 
} 
if (EQONE L (m 1)) 
{ 


SETZERO_L (rest_1); /* modulus = 1 ==> remainder = 0 */ 
return E CLINT OK; 
} 

if (EQZ_L (e 1)) 

{ 
SETONE_L (rest_1); 
return E CLINT OK; 
} 

if (0 == bas) 

{ 
SETZERO_L (rest_1); 
return E CLINT OK; 


} 

SETONE L (p 1); 

py (z_1, e I); 

我 们 从 指数 z_ 1 的 最 高 有 效 字 的 最 高 有 效 非 零 位 开始 ， 对 其 进行 处 理 。 每 次 先进 行 平 
方 运算 ， 然 后 再 视 情 况 做 乘法 。 指 数 的 每 位 都 用 表达 式 if ((w & b) > 0) 来 检测 ， 即 把 每 
位 的 值 与 其 掩 码 进行 按 位 与 运算 。 

b = 1 << ((ld 1 (z_1) - 1) & (BITPERDGT - 1UL)); 

w = z 1[DIGITS L (z_1)]; 

for (3 b> 0% b >= 4) 


{ 
msqr 1 (p 1, pl, m1); 
if ((w & b) > 0) 


{ 
ummul 1 (p 1, bas, p 1, m1); 
} 
} 
接 下 来 处 理 指数 中 剩余 的 数字 。 
for (k = DIGITS L (z_1) - 1; k > 0; k--) 
{ 
w = 2 lik]; 
for (b = BASEDIV2; b > 0; b >>= 1) 
{ 


msqr 1 (p 1, pl, m1); 
if ((w & b) > 0) 
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{ 
ummul 1 (p 1, bas, p 1, m 1); 
} 
} 
} 
cpy 1 (rest_l, p_l); 


return E CLINT OK; 
} 


6.2 MHARA 


通过 把 前 面 a® Rim 需 运 算 的 二 进 制 算法 一 般 化 ， 才 运算 中 模 乘 的 次 数 可 以 进一步 约 
简 。 方 法 是 ， 将 指数 用 大 于 2 的 数 为 基数 的 形式 表示 ， 然 后 在 步骤 3 中 用 乘 a WERE 
乘 w 。 这 样 ， 对 于 给 定 的 基数 M， 指 数 e 可 以 表示 为 e 王 (elie,…eo)w。 下 面 的 算法 计算 


a° mod m, 


a mod m AZARI M 进 制 算法 
1) 计算 cz mod m, aè? mod m, «+, a 'modm, #AHA-TAP. 
2) & ptah mod m, i*-n—2Z; 


3) 4 p-p“ mod m, 

4) 如 果 e0, RW ppa“ mod m, 

5) Six i-1; 如 果 i>0, WARP 3. 
6) 输出 p. 





很 明显 ， 必 要 的 乘法 次 数 依赖 于 指数 e 的 位 数 ，e 的 位 数 又 取决 于 M 的 选择 。 因 此 ， 
我 们 要 选择 这 样 的 M， 使 得 在 取 寡 的 步骤 3 中 能 够 最 大 可 能 地 进行 平方 运算 ， 就 像 之 前 
2 的 例子 ; 且 使 得 乘 以 a 的 究 的 次 数 最 小 ， 这 样 也 可 以 节省 存储 表 所 需要 的 空间 。 

第 一 个 条 件 要 求 我 们 尽量 选择 2 的 帘 作 为 M， 即 M 二 2*。 考 虑 第 二 个 条 件 时 ， 我们 将 
模 乘 的 次 数 用 M 的 函数 表示 。 

在 步骤 3 中 ， 我 们 需要 

[logme Jlog,M = Llogyej (6-1) 

次 平方 ， 以 及 在 步骤 4 中 平均 


Llogme ] prle; Æ 0) = | 


OBE | prve + 0) (6-2) 
次 模 乘 ， 其 中 
prle; #0) = (1 -证 ) 


是 指数 e 的 茶 一 位 e 不 为 零 的 概率 。 如 果 我 们 把 为 了 生成 表 而 进行 的 M 一 2 次 乘法 也 包括 
在 内 ， 那 么 M 进 制 算法 就 需要 平均 





_ lose | il 
p(k) = 2 — 2+ Loge | + |B | (1—5) (6-3) 
2 一 1 
——— OR j 
=? 2+ Llogee | (1+ a (6-4) 


UK BRE Fr MRR. 
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对 于 指数 e ABER m (HE a 512 位 )， 以 及 M 二 2 ， 可 以 获得 计算 w mod m Pr ths BAY BR 
乘 次 数 ， 如 表 6-1 所 示 。 表 中 也 显示 了 预计 表 6-1 取 窜 运算 的 需求 
算 的 a 模 m 的 窘 所 需要 的 存储 空间 ， 其 结果 
是 由 (2k 一 2) CLINTMAXSHORT 。 sizeof 
(USHORT) 计 算得 到 的 。 

可 以 从 表 中 看 出 ， 当 有 二 5 时 ， 乘 法 的 
平均 次 数 达 到 最 小 值 640 次 ， 而 每 增 大 1 
所 需 的 内 存 空间 则 大 概 增 长 一 倍 。 不 过 ， 当 
指数 是 其 他 数量 级 时 ， 运 行 时 间 是 怎样 的 呢 ? 

K 6-2 告诉 了 我 们 这 些 信 息 。 表 中 给 出 了 不 同位 数 的 指数 以 及 不 同 的 & 值 所 需要 的 模 
乘 次 数 。 其 中 包括 768 位 的 指数 ， 因 为 它 是 RSA 密码 系统 中 经 和 常用 到 的 密 钥 长 度 ( 参 见 第 
17 章 ) 。 我 们 用 黑体 字 标 示 表 中 比较 令 人 满意 的 乘法 次 数 。 


表 6-2 典型 大 小 的 指数 和 不 同 的 基数 2 对 应 的 乘法 次 数 
指数 的 二 进 制 位 数 





k 32 64 128 512 768 1024 2048 4096 
1 45 93 190 766 1150 1534 3070 6142 
2 44 88 176 704 1056 1408 2816 5632 
3 46 87 170 666 996 1327 2650 9295 
4 02 91 170 644 960 1276 2540 9068 
5 67 105 181 640 945 1251 2473 4918 
6 98 135 209 656 954 1252 2444 4828 
7 161 197 271 709 1001 1294 2463 4801 
8 288 324 396 828 1116 1404 2555 4858 


考虑 到 FLINT/C 包 所 支持 的 数字 范围 ， 当 二 5 时 我 们 似乎 可 以 找到 一 个 通用 基数 
M 二 2 。 然 而， 这 就 需要 高 达 15KB 的 空间 来 存储 预计 算 的 a Ra’, a, oe, a, Ait 
M 进 制 算法 可 以 进一步 改进 ， 根 据 LCohejl. 2 节 ， 在 某 种 程度 上 我 们 可 以 只 使 用 M/2 次 
而 不 是 M 一 2 次 预 乘 ， 这 样 就 节省 了 一 半 的 内 存 空间 。 于 是 我 们 的 任务 就 又 落 在 a" mod m 
的 计算 上 ， 其 中 ee 二 (6_1e,_s…eo)m 是 指数 的 M= 二 2” 进 制 表示 。 


减少 预 乘 次 数 的 M dt Hl AE 

1) 计算 并 存储 ua mod m, aè mod m, a’ modm, =+, a?! mod m, 

2) 如 果 e 1 一 0， 则 令 pel, 
to Re, £0, Ke, = Zu, HPuAAR, Us pea" mod m, KApeap mod m, 
两 种 情况 都 令 i<-n 一 2。 


3) 如 果 e,=O0, Mte PY +++)? mod mk 拆 平方 模 m)， 计 算 pp” mod m, 
jo Re A0, R e=?u, PRP uAFK, WMA pap’ modm, AA pepa" 
mod m, RE p-p? mod m. 

4) 4 i<-i—1, Rid, WAZ HH 3。 

5) 输出 po 
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该 算法 的 诀窍 在 于 ， 用 一 种 很 聪明 的 方法 把 步骤 3 中 的 平方 分 离 出 来 ， 这 样 就 变 成 了 
处 理 a WY FEA e: 的 偶数 部 分 2 。 在 平方 过 程 中 ，a 的 wu(e; 的 奇数 部 分 ) 次 才 被 保留 下 来 。 
乘法 和 平方 之 间 的 平衡 就 转移 到 了 更 加 优良 的 平方 上 ， 此 外 ， 我 们 只 需要 预计 算 并 存储 a 
的 奇数 次 寡 。 

B TITID, RARIK e H 表 6.3 指数 被 分 解 成 的 2 的 者 和 一 个 奇数 因素 的 值 
ME — MEEKI ec; =2'u, u HARM. AS 
快速 地 找到 上 和 ww， 我 们 用 一 个 表 来 记录 
它们 ， 表 6-3 显示 了 当 & 二 5 时 的 情况 。 

我 们 可 以 用 辅助 函数 twofact 1 () 来 
计算 这 些 值 ， 这 个 函数 将 在 10. 4.1 节 中 
介绍 。 在 实现 改进 的 M 进 制 算法 之 前 ， 
仍然 有 一 个 问题 需要 解决 : MP PAR k> 
0， 我 们 如 何 能 够 高 效 地 从 二 进 制 表示 或 
B 二 2" 进 制 表 示 获 得 指数 的 M 王 2 进 制 表 
示 呢 ?这 里 可 以 利用 不 同 的 指数 获得 ,我 
们 可 以 从 B 进 制 指数 e 的 表示 中 屏蔽 出 所 
需要 的 M 进 制 的 各 位 e;。 设 (e,_1e,，…eo), 是 指数 e 的 二 进 制 表示 (这 是 为 了 得 到 二 进 制 数 
Fr), (e-1ey-2°@o) yp 是 CLINT 类 型 的 指数 e 的 B= 二 2* 进 制 表示 ， 而 (e';_1e',:*…e',)m 是 
指数 e 的 M=2* 进 制 表示 ， 其 中 16(M 不 应 该 比 B 大 )。 指 数 e 作为 一 个 CLINT 类 型 的 对 
Rel, 其 在 内 存 中 的 表达 是 一 个 序列 Lu 十 1j， Le], Le], mans Lei], [oO], 序列 中 的 每 一 
个 元 素 都 是 USHORT 类 型 的 值 e 1[ i]，i 二 0,，…，u 十 1。 注 意 我 们 在 最 前 面 添加 了 一 个 0。 

pfi] BAF i=, e fps 一 | 台 |， d; :二 k; mod 16。 在 这 些 设置 的 基 
础 上 ， 我们 有 以 下 表述 : 

1) CART T" dm 有 f+ 位 ， Bin—l=f. 

2) e, 包含 了 e; 的 最 低 有 效 位 。 

3) d; 标示 出 e, 中 e; 的 最 低 有 效 位 的 位 置 (位 置 的 计数 从 0 开始 ) 。 如 果 I< f 且 d> 
16 一 k， 那 么 不 是 e; 所 有 的 二 进 制 位 都 在 e, 里 ，e; 剩 下 的 位 (更 高 有 效 位 ) 在 e, ;1 里 。 我 们 
所 要 求 的 M 进 制 位 e; 则 与 下 式 的 & 个 最 低 有 效 二 进 制 位 相 吻 合 : 








bo 
~J 
O = O N O = O ù O mefjs 





© Oo ~] Cn on = us Fo _ 
cS 
n DO 一 ~ Co or — Ww -一 -一 SO R 
O N O m= O A O m= Oo N O 


— 
SS 
i 








Fit B TE 
<a 
因此 ， 对 于 一 个 确定 ee，iE (0, =, Po 我 们 有 以 下 的 表达 式 : 
e; = (Ce_1fs;+1]|(e_1[s, 十 2] < BITPERDGT)) > d,;)&(2' — 1) (6-5) 


为 了 简单 ， 我 们 令 e 1[s/y 十 2]<-0， 所 以 当 i==f 时 该 表达 式 依 然 成 立 。 
这 样 我 们 就 找到 一 种 有 效 的 方法 ， 使 我 们 能 够 访问 指数 的 CLINT 表示 中 的 各 个 数字 ， 
该 表示 产生 于 其 以 2 的 帘 2*(k 三 16) 为 基数 的 表达 。 使 用 这 种 方法 我 们 就 可 以 避免 直接 对 
指数 进行 转化 。 现 在 ， 寡 运算 所 需 的 乘法 和 平方 的 次 数 就 变 成 了 : 
yg (RB) = 2 十 llogse | (1 十 和 =) 
与 um(k) 相 比 ， 其 计算 的 代价 降低 了 一 半 。 用 来 选择 最 优 & 值 的 表 ( 见 表 6-4) 与 之 前 的 相 比 
就 有 所 不 同 了 。 
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表 6-4 ”典型 大 小 的 指数 和 不 同 的 基数 2 对 应 的 乘法 次 数 
指数 的 二 进 制 位 数 


K 32 64 128 512 768 1024 2048 4096 
1 47 95 19] 767 1151 1535 3071 6143 
2 44 88 176 704 1056 1408 2816 9632 
3 44 85 168 664 994 1325 2648 5293 
4 46 85 164 638 954 1270 2534 5066 
5 53 9] 167 626 931 1237 2459 4904 
6 68 105 179 626 924 1222 2414 4798 
7 99 135 209 647 939 1232 2401 4739 
8 162 198 270 702 990 1278 2429 4732 


虽然 从 768 4 kl Be I BOT R. Ee EA EL Ee Bal Pi AS Ht HE EE AY Pe HY 
值 大 1， 但 所 需 的 模 乘 次 数 很 轻易 地 减少 了 。 可 以 预料 ， 这 个 程序 在 整体 上 比 之 前 考虑 的 
转化 更 加 优化 。 现 在 我 们 实现 算法 就 再 无 障 但 了 。 

为 了 展示 算法 原理 的 实现 ， 我 们 选择 了 一 个 适当 的 程序 ， 并 使 用 了 一 个 合适 的 最 优 下 
值 。 为 此 ， 我 们 再 次 依靠 LCohej， 从 中 寻找 满足 下 面 不 等 式 的 最 小 整数 值 k 
k(k 1)2” 

2 —k—2 

该 不 等 式 来 自前 面 求 必 要 乘法 次 数 的 公式 wk), W RA RAE jw (k 十 1) 一 jz(k) 宇 0。 目 
前 为 止 介绍 ， 在 所 有 取笑 算法 中 ， 模 平方 的 次 数 都 是 恒定 的 Lioge」， 我们 可 以 把 它 消除 ; 
只 剩 下 “真正 ”的 模 乘 ， 也 就 是 说 ， 我 们 只 考虑 非 平 方 的 运算 。 

通过 变量 & 实 现 需 运算 时 ， 需 要 大 量 的 主 内 存 来 存储 预计 算 的 a WE. MH R=8 时 ， 
我 们 需要 大 概 64KB 来 存储 127 个 CLINT 变量 (这 是 通过 (2 — 1) * sizeof (USHORT) * 
CLINTMAXSHORT 得 来 的 ) ， 其 中 两 个 额外 的 自动 CLINT 字段 没有 计算 在 内 。 一 个 程序 如 果 
运行 在 16 位 分 段 式 架 构 的 处 理 器 或 内 存 模型 上 ， 那 么 这 个 存储 代价 已 经 达到 了 它 可 能 承 
受 的 极限 (这 方面 可 参见 LDunc | 第 12 章 或 LPetzj] 第 7 章 )。 

根据 不 同 的 系统 平台 ， 有 各 种 适当 的 策略 使 得 内 存 可 用 。 由 于 函数 mexp5 1() 所 
必需 的 内 存 是 从 栈 中 获取 的 (以 自动 CLINT 变量 的 形式 )， 所 以 每 次 调用 下 面 的 函数 
mexpk 1() ， 内 存 都 会 从 堆 中 被 分 配 出 来 。 为 了 节省 与 此 相关 的 开支 ， 我 们 可 以 想象 有 
一 种 方式 ， 在 一 次 性 的 初始 化 过 程 中 保留 最 大 必需 的 内 存 ， 直 到 整个 程序 运行 完毕 才 释 
放 。 在 每 种 情况 下 都 可 以 调整 内 存 管 理 以 适应 具体 的 需求 ， 这 一 点 在 下 面 代 码 的 评注 中 
有 说 明 。 

对 应 用 的 进一步 提示 : 我 们 总 是 建议 检查 是 否 能 够 在 算法 中 使 用 基数 M= 二 2*。 在 所 有 
的 情况 下 ， 调 整 对 更 多 内 存 的 需求 以 及 由 此 而 产生 的 必需 的 内 存 管 理 是 需要 一 定 计算 时 间 
的 ， 与 这 些 时 间 相 比 ， 使 用 更 大 的 & 值 所 节省 的 时 间 并 不 是 很 大 。 附 录 D 给 出 了 各 种 寡 运 
算 的 一 般 计 算 时 间 ， 根 据 这 些 我 们 可 以 决定 是 否 使 用 它们 。 

用 基数 M 王 2 实现 的 算法 包含 在 FLINT/C WH, MAH mexp5 1()。 通 过 包含 在 
flint.h PAYA EXP_L()， 我们 可 以 设置 要 用 的 取 短 函数 : mexp5 11() 或 者 下 面 带 变量 k 
的 函数 mexpk 1 ()。 


log»e < (6-7) 
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: RAR 
: int mexpk 1 (CLINT bas 1, CLINT exp l, CLINT p 1, CLINT m 1); 
: bas 1( 底 数 ) 

exp_1( 指 数 ) 

m 1( 模 数 ) 


: p IRRA) 

: E CLINT OK, PRAH 
E CLINT _DBZ， 如 果 出 现 除 0 现象 
E CLINT MAL, 4¢ malloc() 错 误 





我 们 从 用 来 表达 e; 二 2'u(w AFR, Le <2 ) 的 表 部 分 开始 。 这 个 表 以 两 个 数组 的 形 
式 表示 。 第 一 个 数组 twotab[ JA TAF 2 中 的 指数 :， 第 二 个 数组 oddtab[ ] 记 录 数 字 
Ke <2? HRB up HK, 完整 的 表 也 包含 在 FLINT/C 源 代码 中 。 

static int twotab[] = 

{0,0,1,0,2,0,1,0,3,0,1,0,2,0,1,0,4,0,1,0,2,0,1,0,3,0,1,0,2,0,1,0,5, cea 

static USHORT oddtab[ ]= 

{0,1,1,3,1,5,3,751,9,5,11,3,13,7,15,1,17,9,19,5,21,11,23,3,25,13, as}; 

int 

mexpk_1 (CLINT bas 1, CLINT exp 1, CLINT p 1, CLINT m 1) 

{ 

这 些 定 义 为 添加 了 前 寻 零 的 指数 预 留 内 存 ， 同 时 也 包括 指针 clint **aptr 1， 该 指 
针 指 向 一 块 待 分 配 的 内 存 ， 该 内 存 将 用 于 存储 预计 算 的 bas 1 的 办 的 地 址 。 容 运算 的 中 间 
结果 将 存储 在 acc 1 中 。 

CLINT a l, a2 l; 

clint e_1[CLINTMAXSHORT + 1]; 

CLINTD acc 1; 

clint **aptr 1, "ptr l; 

int noofdigits, s, t, i; 

ULONG k; 

unsigned int lge, bit, digit, fk, word, pow2k, k_mask; 

接 下 来 是 常规 检查 模 数 是 否 为 0 或 1。 

if (EQZ L (m 1)) 


{ 
return E CLINT DBZ; 
} 
if (EQONE L (m 1)) 
{ 


SETZERO L (p 1); /* modulus = 1 ==> residue = 0 */ 
return E CLINT OK; 
} 
将 底数 和 指数 复制 到 工作 变量 a 1 和 ee 1 中， 上 且 将 所 有 的 前 导 零 去 除 。 
cpy 1 (a 1, bas 1); 
cpy 1 (e 1, exp 1); 
现在 我 们 处 理 最 简单 的 情况 ， 即 a" 二 1 且 0* 王 0(e 二 0) 。 
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if (EQZ L (e 1)) 
on (p 1); 
return E CLINT OK; 
} 
if 《CEQZ L (a_1)) 
omer (p 1); 
return E CLINT OK; 
} 
接 下 来 确定 的 最 优 值 。 我 们 用 pow2k RAH 2°, Ak mask 来 存储 2 一 1。 这 里 我 
们 使 用 函数 lda 1() ， 它 返回 其 参数 的 二 进 制 数字 的 位 数 。 
lge = ld 1 (e 1); 
k= 8 
while (k > 1 && ((k - 1) * (k << ((k - 1) << 1))/((4 << k ) - k - 1)) >= lge - 1) 
= 
} 
pow2k = 1U << k; 
k_mask = pow2k - 1U; 
给 指针 分 配 内 存 ， 该 指针 指向 后 面 将 要 计算 的 a_ 1 工 的 入。 把 底数 a 1 通过 模 m 1 
约 简 。 
if ((aptr 1 = (clint **) malloc (sizeof(clint *) * pow2k)) == NULL) 
_— E CLINT MAL; 
} 
mod 1 (al, ml, a1); 
aptr 1[1] = a1; 
soRkR>1, PMARPRMRARALZLHOR,. MHRH=IMAAPRAG, BAAR 
要 预计 算 的 项 。 在 下 面 对 指 针 aptr 1|ij] 的 设 定 中 ,我 们 需要 注意 的 是 ， 编 译 器 会 对 指针 
p 偏 移 量 的 增加 进行 缩放 ， 这 样 就 可 以 以 指针 类 型 对 象 Pp 来 计数 。 
前 面 提 到 过 ， 我 们 可 以 选择 在 一 次 性 的 初始 化 中 进行 工作 内 存 的 分 配 。 在 这 种 情况 
下 ， 指 向 CLINT 对 象 的 指针 将 保存 在 函数 之 外 的 全 局 变量 或 mexpl 1() 内 的 static 变 
PF, 


if (k > 1) 
{ 
if ((ptr_l = (clint *) malloc (sizeof(CLINT) * ((pow2k >> 1) - 1))) == NULL) 
{ 
return E CLINT_MAL; 
} 


aptr_1[2] = a2 1; 
for (aptr_1[3] = ptr 1, i = 5; i < (int)pow2k; i+=2) 
{ 
aptr 1[i] = aptr 1[i - 2] + CLINTMAXSHORT; 
} 
现在 应 该 预计 算 存 储 在 a 1 PH HR. RMN Ha, a, ay ty at (a? 只 是 
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起 辅助 作用 )。 
msqr 1 (a 1, aptr 1[2], m1); 
for (i = 3; i < (int)pow2k; i += 2) 
{ 
mmul 1 (aptr 1[2], aptr_l[i - 2], aptr 1[i], m1); 
} 
} 
对 于 RSL 的 情况 ， 这 样 就 结束 了 。 指 数 通过 前 导 零 加 长 。 
*(MSDPTR_L (e_1) + 1) = 0; 
确定 值 f( 由 变量 noofdigits 表示 )。 
noofdigits = (lge - 1)/k; 
fk = noofdigits * k; 
计算 数字 e th FALE s; 和 位 位 置 d; 并 存储 在 word 和 bit P. 
word = fk >> LDBITPERDGT; /* fk div 16 */ 
bit = fk & (BITPERDGT-1U); /* fk mod 16 */ 
用 之 前 推导 的 公式 计算 数字 Cn—13 Ên 1 用 变量 digit 表示 。 
switch (k) 
{ 
case 1: 
case 2: 
case 4: 
case 8: 
digit = ((ULONG)(e l[word + 1] ) >> bit) & k mask; 
break; 
default: 
digit = ((ULONG)(e l[word + 1] | ((ULONG)e l[word + 2] 
<< BITPERDGT)) >> bit) & k_mask; 
} 
A DA HK GR, digit=e,,40 时 。 
if (digit != 0) /* k-digit > 0 */ 
{ 
cpy_1 (acc 1, aptr_l[oddtab[digit]]); 


计算 大 ;七 是 指数 e 1 中 2 的 部 分 ， 用 twotab[e, JAR. pp 用 acc 1 表示 。 
t = twotab[digit]; 
for (; t > 0; t--) 
{ 
msqr_l1 (acc l; acc 1, m1); 
} 


} 
else /* k-digit == 0 */ 


SETONE L (acc 1); 
} 
从 f—1 开始， 循环 noofdigits 次 。 
for (--noofdigits, fk -= k; noofdigits >= 0; noofdigits--，fk -= k) 
{ 
计算 e 的 字 位 置 s; 和 位 位 置 d; 并 存储 在 word 和 bit P. 
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word = fk >> LDBITPERDGT; /* fk div 16 */ 
bit = fk & (BITPERDGT - 1U); /* fk mod 16 */ 
用 之 前 推导 的 公式 计算 数字 es e 用 变量 digit T. 
switch (k) 
{ 
case 1: 
case 2: 
case 4: 
case 8: 
digit = ((ULONG)(e l[word + 1] ) >> bit) & k mask; 
break; 
default: 
digit = ((ULONG)(e l[word + 1] | ((ULONG)e l[word + 2] 
<< BITPERDGT)) >> bit) & k_mask; 
} 
执行 算法 的 步骤 3，digit =e 40M. t AH twotab[e;] 赋 值 。 
if (digit != 0) /* k-digit > 0 */ 
{ 
t = twotab[digit]; 


计算 acc 1 的 值 Pa a“, iat aptr lL oddtable, ||Rit # a", HP ue, 的 奇数 部 分 。 
for (s = k = tj s > 0; s--) 
{ 
msqr_l (acc 1, acc_l, m1); 
} 
mmul 1 (acc 1, aptr_l[oddtab[digit]], acc 1, m1); 
计算 pr” ， 旋 仍然 用 acc 1 表示 。 
for (; t > 0; t--) 


{ 
msgr 1 (acc 1, acc 1, m1); 
} 
} 
else /* k-digit == 0 */ 
{ 


k 


算法 的 步骤 3, €é=0 时 : 计算 p 5 
for {s = k; 5 > Of $-~) 
{ 
msqr 1 (acc 1, acc 1, m1); 
} 
} 
} 
循环 结束 ; 输出 aco 1 作为 模 m 1 的 震 剩 余 。 
cpy_l (p_l, acc_l); 
了 最后， 释放 分 配 的 内 存 。 
free (aptr 1); 
if (ptr 1 != NULL) free (ptr 1); 
return E CLINT OK; 
} 
我 们 可 以 通过 一 个 确切 数值 的 例子 来 帮助 我 们 理解 M 进 制 取 寡 算法 的 各 个 过 程 。 为 此 
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我 们 将 举例 计算 1234ss mod 18 577， 通 过 下 面 步骤 中 的 函数 mexpk 1 () 来 执行 : 

1. 预计 算 

指数 e=667 可 以 用 基数 为 2* 的 表达 式 来 表达 (参照 的 M 进 制 取 需 算 法 ) HP k=2, 
于 是 指数 e 就 可 以 表示 为 e 二 (10 10 01 10 11).2, Ra mod 18577 的 值 为 17 354。 由 于 指 
数 的 值 比 较 小 ， 所 以 我 们 不 需要 预计 算 更 多 a 的 需 。 

2. Maem 


p= won | | Mi | 3 | r | 19599 
p= pat mod n TE 
ed as | = | me | 


3. 结果 
p = 1234 mod 18 577 = 4445 
作为 一 般 情况 的 扩展 ， 我 们 下 面 介 绍 取 寡 运 算 的 一 个 特殊 版 本 ， 即 以 2 AS FE 2 为 指 
数 的 情况 。 从 之 前 的 思路 我 们 知道 ， 这 个 函数 可 以 通过 上 有 重 取 徊 算法 很 容易 地 实现 。 这 里 
指数 2 FAR 指定 。 


: 指数 为 2 85 HH AR HSH 
: int mexp2 1 (CLINT a l, USHORT k, CLINT p l, CLINT m 1); 
: a 1( 底 数 ) 

k(2 的 指数 ) 


m 1( 模 数 ) 
: p l(a 1”modm 1 的 剩余 ) 
: E CLINT OK， 如 果 成 功 
E CLINT DBZ， 如 果 出 现 除 0 现象 





int 
mexp2 1 (CLINT a 1, USHORT k, CLINT p 1, CLINT m 1) 
{ 
CLINT tmp 1; 
if (EQZ L (m 1)) 
{ 
return E CLINT DBZ; 
} 
wRK>O, PAZAal 就 平方 k 次 模 m 1。 
if (k > 0) 
{ 
cpy_1 (tmp 1, a 1); 
while (k-- > 0) 
{ 
msqr 1 (tmp 1, tmp 1, m 1); 
} 
cpy_1 (p_l, tmp 1); 
} 


else 
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否则 ， 如 果 k 二 0， 我 们 只 需要 把 a 1 模 一 次 m 1 就 可 以 了 。 


{ 
mod 1 (a 1, ml, p 1); 
} 

return E_CLINT OK; 


} 


6.3 加 法 链 及 窗口 


目前 人 们 已 经 发 表 了 许多 取笑 的 算法 ， 其 中 有 些 是 为 任意 的 操作 数 而 构想 的 ， 有 些 则 
是 针对 特殊 情况 。 目 的 都 是 找到 使 用 尽 可 能 少 的 乘法 和 除法 的 程序 。 从 二 进 制 到 M 进 制 
取 和 大 的 演变 就 是 一 个 如 何 减 少 这 些 操作 的 例子 。 
二 进 制 和 M 进 制 取 才 都 是 加 法 链 (参见 LKnutj4. 6. 3 节 ) 构 造 的 特殊 情况 。 我 们 利用 
了 这 样 一 个 事实 ， 即 取 知 的 规则 允许 我 们 对 短 的 指数 进行 加 法 分 解 : e=k tl >a =a = 
aa' 。 二 进 制 取 帮 算法 把 指数 分 解 成 一 系列 数 的 和 
e= ej t er "2 tw 
利用 这 个 表达 式 ， 取 寡 运 算 就 可 以 以 交替 平方 和 乘法 的 方式 进行 : 
a mod n = (+**((((a%! )* Ja )* +++)’ 0 mod n 
这 个 联合 的 加 法 链 是 通过 把 产生 的 oY 4 EP ZR MAR AS A. FEAN T : 
ej; » 2 
Ek—1l ° Z + ey» 
(Bi ° 2+ ej.) 2 2 
Cera © 2 Fera) © 2+ eG: 
(Cen. © 2era) © 2 eye) g 


(vo Cergy © 2 Fer) «2+ es) © 24 +2) «2+ Eeo 

如 果 对 于 某 个 特定 的 7，e =O. 那么 序列 中 的 这 一 项 将 被 删除 。 例 如 ， 基 于 二 进 制 方 
法 进行 分 解数 字 123 的 结果 就 是 一 个 包含 12 个 元 素 的 加 法 链 : 1，2，3，6，7，14，15， 
a0, 60; Gl, 1225 123, 

一 般 来 说 ， 一 个 数字 序列 Lay, ars azs os a =e, MRF I=1, =, r 都 存在 
一 对 数字 (j，k)，j 硅 & 二 1， 使 得 a; 二 a 十 ui， 我 们 就 称 这 个 序列 为 e 的 长 度 为 + 的 加 法 链 。 

M 进 制 方法 把 这 个 概念 一 般 化 ， 将 指数 用 其 他 的 基数 表示 。 两 个 方法 的 目的 都 是 为 了 
产生 尽 可 能 短 的 加 法 链 ， 从 而 使 求 害 的 计算 代价 最 小 化 。 用 2” 进 制 方法 生成 的 123 的 加 
法 链 是 1，2，3，4，7，8，15，30，60，120，123; 用 2 进 制 方法 生成 的 加 法 链 是 1， 
2，3，4，7，11，14，28，56，112，123。 与 预期 一 样 ， 与 二 进 制 方法 产生 的 加 法 链 相 比 
后 两 条 链 明 显 较 得， 数字 越 大 对 比 也 越 明 显 。 然 而 ， 考 虑 实际 上 对 运行 时 间 的 节省 ， 我 们 
必须 注意 在 计算 a mod n 的 初始 化 过 程 中 ，M dE TREN Ha’. a’ a’. a’ pth 
括 那些 在 e 的 M 进 制 表达 或 在 加 法 链 中 不 需要 的 指数 次 需 。 

二 进 制 取 客人 代表 了 加 法 链 最 坏 的 情况 : 通过 考虑 这 种 情况 ， 我 们 可 以 得 到 加 法 链 的 最 
大 可 能 长 度 的 边界 logze 十 H(e) 一 1， 其 中 He) {RE e 的 汉 明 权重 2 。 加 法 链 的 长 度 下 界 为 


O Wn ww RaW n= in eno), IA 万 (就 定义 为 Mn (参见 | HeQu | 第 8 Fr), 
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log,et+log, H(e) 一 2. 13， 再 没有 找到 更 短 的 e 的 加 法 链 ( 参 见 LScho ] 或 LEKnutj，4. 6. 3 1, 
练习 28、29) 。 在 我 们 的 例子 中 ， 指 数 e=123 的 最 短 加 法 链 的 长 度 为 8， 所 以 之 前 M 进 制 
方法 中 引用 的 结果 并 不 是 最 好 的 。 

寻找 最 短 加 法 链 这 个 问题 尚 没有 找到 多 项 式 时 间 的 解决 方法 。 该 问题 属于 复杂 度 类 中 
的 NP 类 一 一 能 够 在 多 项 式 时 间 内 通过 非 确 定性 方法 解决 的 决策 问题 ， 也 就 是 说 ， 这 些 问 
题 可 以 通过 “猜测 ”来 解决 ， 且 所 需 的 计算 时 间 受 限于 多 项 式 p, 该 p 为 输入 长 度 的 函 
数 。 与 此 相反 ，P 类 包括 那些 可 以 在 多 项 式 时 间 内 用 确定 性 方法 解决 的 问题 ? 。 毫 无 疑问 ， 
P 类 是 NP 类 的 一 个 子 集 ， 因 为 所 有 的 多 项 式 确定 性 问题 都 可 以 非 确 定性 地 解决 。 

确定 最 短 加 法 链 是 一 个 NP 完全 问题 ，NP 完全 问题 是 至 少 与 NP 集合 中 所 有 其 他 问 
题 一 样 难 的 问题 (参见 |L Yaco] 和 LHKW jj 第 302 页 )。 因 此 ， 人 们 对 NP 完全 问题 很 感 兴 趣 ， 
因为 即使 只 有 一 个 NP 完全 问题 找到 了 多 项 式 时 间 的 确定 性 解决 方法 ， 那 么 其 他 所 有 NP 
问题 就 都 能 在 多 项 式 时 间 内 解决 了 。 在 这 样 的 情况 下 ，P 类 和 NP 类 可 以 合并 到 一 个 单独 
的 问题 集合 中 。 虽 然 我 们 猜想 P 取 NP， 但 这 个 问题 尚未 得 到 解决 ， 同 时 它 代表 了 复杂 度 理 
论 的 一 个 中 心 问题 。 

了 解 了 这 些 ， 我 们 就 清楚 了 所 有 产生 加 法 链 的 实用 程序 都 必须 依靠 启发 法 ， 也 就 是 数 
学 的 经 验 法 则 ， 比 如 在 2° 进 制 取 索 中 确定 指数 上 A， 因 为 我 们 知道 2* 进 制 方法 比 其 他 方法 
有 更 好 的 时 间 特 性 。 

例如 ，1990 年 ，Y. Yacobi 在 [Yaco] 中 描述 了 构造 加 法 链 与 利用 Lempel-Ziv 算法 压缩 
数据 的 联系 ; 这 里 我 们 也 给 出 基于 压缩 程序 的 取 和 究 算 法 。 

在 寻找 最 短 加 法 链 的 过 程 中 ，M 进 制 取 和 宾 可 以 进一步 一 般 化 ， 后 面 将 详细 讲解 。 窗 口 方 
法 不 是 像 M 进 制 方法 中 用 一 个 固定 的 M 作为 基数 来 表示 指数 ， 而 是 用 可 变 二 进 制 长 度 的 数 
字 来 表示 。 比 如 ,长 的 二 进 制 去 序列 ( 称 为 零 窗 口 ) 可 以 当 作 指数 的 数字 。 如 果 我 们 回想 M 进 
制 算 法 ， 就 很 清楚 一 个 长 度 为 ! 的 零 窗 口 只 需要 重复 ! 次 平方 就 可 以 了 ， 相 应 的 步骤 是 

3) Ap< p mod m = (+++ ((p Y J >U X) mod m 

根据 过 程 不 同 ， 非 零 的 数字 会 当 作 固定 大 小 的 窗口 或 者 拥有 最 大 长 度 的 可 变 窗 口 来 处 
理 。 与 M 进 制程 序 一 样 ， 对 于 每 个 长 度 为 1 的 非 零 窗口 (在 后 面 我 们 不 恰当 地 称 为 “1 窗 
口 ”)， 除 了 循环 平方 之 外 ， 还 需要 一 次 额外 的 乘法 ， 乘 以 预计 算 的 因子 。 类 比 于 2* 进 制 
程序 中 相应 的 步骤 是 : 

3') 4p- p modm, 再 令 p < pa“ mod m 

需要 预计 算 的 元 泰 个 数 取 决 于 1 窗口 允许 的 最 大 长 度 。 我 们 应 该 注意 从 最 低 有 效 位 开 
台 计 算 的 1 窗口 中 总 是 包含 一 个 1， 因 此 1 窗口 总 是 奇数 。 在 这 个 方法 中 开始 并 不 需要 像 
减少 预 求 次 数 的 M 进 制 取 索 算 法 那样 把 指数 数位 分 解 成 偶数 元 素 和 奇数 元 素 。 换 句 话 说， 
在 取 短 时 ， 我 们 将 从 最 高 有 效 位 开始 处 理 指数 一 直到 最 低 有 效 位 ， 这 也 就 意味 着 在 真正 进 
行 取 短 之 前 ， 指 数 必须 首先 完全 地 分 解 并 有 旦 存储 起 来 。 

然而 ， 如 果 我 们 从 最 高 有 效 位 开始 从 左 至 右 地 分 解 指数 ， 那 么 每 个 0 或 1 窗口 一 旦 完 
成 分 解 就 可 以 立即 得 到 处 理 。 这 样 我 们 当然 也 会 得 到 偶数 值 的 1 窗口 ， 但 是 取 过 算法 对 此 
早 有 准备 。 


O 如 果 这 种 问题 的 输入 是 一 个 整数 ”， 那么 于 的 位 数 可 以 当 作 输 入 大 小 的 度量 。 这 样 就 存在 一 个 多 项 式 p, i 
得 计算 时 间 的 边界 是 pl(log2n)。 解 决 问题 所 花费 的 代价 是 随 着 的 增长 而 增长 ,还 是 随 着 的 位 数 的 增长 
而 增长 ， 这 个 差别 是 决定 性 的 。 
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本 质 上 ， 从 两 个 方向 把 指数 分 解 为 固定 长 度 7 的 1 窗口 遵循 相同 的 算法 ， 我们 下 面 描 
述 了 从 右 至 左 的 分 解 算法 。 








将 整数 e 分 解 为 固定 长 度 ! 的 0 窗口 和 1 窗口 

M ares = 进 制 数字 等 于 0， 那 么 开启 一 个 0 窗口 ， 跳 转 到 步骤 2; SM, 
开启 1 窗口， 跳 转 到 步骤 3, 

2) mT AS E d, 那么 将 其 加 入 0 窗口 。 如 果 是 1， 则 关闭 0 窗口 ， 


开启 1 窗口 ， 跳 转 到 步骤 3。 

3) 将 之 后 的 /一 1 位 都 添加 到 1] 窗口 中 。 如 果 下 一 个 高 位 是 0， 开 启 0 窗口 并 跳 转 
到 步骤 2; 否则 开启 一 个 1 窗口 并 跳 转 到 步骤 3。 如 果 e 的 所 有 数字 都 处 理 了 ， 
那么 终止 算法 。 








从 左 至 右 的 分 解 是 从 最 高 有 效 二 进 制 数 字 开 始 ， 其 他 的 过 程 则 类 似 。 如 果 我 们 假设 e 
没有 二 进 制 前 寻 零 ， 那 么 算法 就 不 会 在 步骤 2 到 达 。 的 二 进 制 表达 式 的 终点 ， 程 序 会 在 步 
又 3 以 相同 的 条 件 终止 。 下 面 的 例子 具体 说 明了 算法 的 过 程 : 

@ ^ e=]1 896 837=(111001111000110000101),. 4 ;=3。 从 最 低 有 效 二 进 制 数字 开 

Ro e 分 解 如 下 : 
= 111 001 11100 0110000 101 
选择 /二 4， 可 以 得 到 下 面 的 。 分 解 : 
e = 11100 11110 0011000 0101 
用 以 上 的 方法 考虑 2 DEE. PN A 一 2 时 ， 分 解 如 下 : 
e = 011100 111100 011000 0101 
L=3 Hf, Xf e 的 窗口 分 解 包 合 5 个 1 窗口 ， 而 2 二 4 时 则 只 包含 4 个 ， 这 个 数量 也 等 
于 所 需 乘 法 的 次 数 。 吃 一 方面 ，2 进 制 分 解 则 包含 8 个 1 窗口 ， 需 要 /二 4 分解 的 
两 倍 的 乘法 次 数 ， 很 明显 是 得 不 偿 失 的 。 
o 相同 的 过 程 ， 但 从 最 高 有 效 二 进 制 数字 开始 ， 当 /二 4，e 二 123 时 ， 分 解 为 
e = 11100 1111000 110000 101 
虽然 也 包含 4 个 1 窗口 ， 但 就 像 之 前 指明 的 ，1 窗口 并 不 都 是 奇数 。 

最 后 ， 我 们 用 下 面 的 算法 来 形式 化 使 用 窗口 分 解 指数 的 取 震 运算 ， 两 个 方向 的 窗口 分 

解 都 考虑 在 内 。 








将 e 表示 为 窗口 (1 窗口 的 最 大 长 度 为 |) HRHiES a mod m 的 算法 

1) 将 指数 e 分 解 为 0 窗 Fe] g DD (wp 1'"*wo0), 对 应 的 长 度 分 别 为 ly, ey lo 。 
2) 计算 并 存储 a mod m, a’ mod m, a’ mod m, =+, a? ~! mod M, 

3) Bat mod m, i k— 2a 


4) 令 pep" mod m, 

5) 如 果 w0, & peapa“ mod m, 

6) 令 i<-i 一 1; 如 果 ;0， 跳 转 到 步骤 4。 
7) 输出 p。 





如 来 不 是 所 有 的 1 窗口 都 是 奇数 ,那么 步骤 3 到 6 就 由 下 面 的 步骤 蔡 换 ， 去 除 步骤 7: 
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3') do Zw, ,=0. MA pep mod m=(e((p?)?)? +)? dK) mod m, wR 


wr- #0, AF w= 2u, 为 偶数 ; A paa" mod m, FF p-p” mod m, 
每 种 情况 都 令 i<-k 一 2。 

4') 如 果 w; 二 0， 令 pep” mod m= Cp?) =)? (L K) mod m。 如 果 w; 0, 
AFow=2'u, 为 偶数 ; > p<p mod m, A p< pa“ mod m; 最 后 
App” mod m, 

5) 令 i<i—1; 如 果 ;二 0， 跳 转 到 步骤 4。 

6 ) 输出 po 





6.4 Montgomery 2 fj #0 HS 


现在 我 们 放弃 加 法 链 ， 把 注意 力 转移 到 另 一 个 思想 上 ， 一 个 从 代数 的 角度 来 看 尤其 有 趣 的 
思想 。 它 可 以 用 模 2 WE 2 ) 的 乘法 来 代替 模 一 个 奇数 n 的 乘法 ， 由 于 2 不 需要 显 式 的 除 
法 ,所 以 与 模 一 任意 整数 冯 约 简 相 比 更 加 高 效 。 这 个 有 效 的 模 约 简 方 法 是 1985 年 由 
P. Montgomery| Mont 发 表 的 ， 自 那 以 后 已 经 有 了 广泛 的 实际 应 用 。 这 个 方法 基于 以 下 的 观察 

wn 和 r 是 互 素 的 整数 ,rr 是 -~ 模 2 的 乘法 逆 元 素 ; 同样 , 使 n 是 nn 模 r 的 乘法 逆 
元 素 ; 上 外， 定义 n :二 一 n! mod r，m :二 tn mod r。 于 是 ， 对 于 整数 1 我们 有 


t + mn 
r 


—1 


mod n (6-8) 


= ir 


TERED ASR AE. RI SORE r 同 余 和 除 以 -~( 注 意 t+ mn=0 mod r， 所 以 除法 
没有 余数 ) 的 运算 ， 但 是 没有 进行 模 n 同 余 运 算 。 通 过 选择 2 WE 2 作为 r 的 值 ， 我们 可 
以 在 第 ;位 (从 最 低 有 效 位 计数 ) 将 x 分开， 从 而 轻易 地 约 简 数值 zx 模 r 的 运算 ， MAR 
可 以 通过 把 z 右 移 位 来 实现 除法 。 于 是 式 (6-8) 左 边 需 要 的 计算 开销 明显 比 右边 少 ， 这 也 
是 该 方程 式 的 魅力 所 在 。 对 于 所 需要 的 两 种 运算 ， 我们 可 以 调用 函数 mod2 1() (参见 4. 3 
WOM shift 1()《( 参 见 7,1 F). 

这 种 进行 模 1 约 简 的 原理 叫 作 Montgomery 约 简 。 为 了 获得 比 我 们 之 前 的 方案 更 快速 
的 模 寡 运算 ， 我 们 下 面 将 开始 研究 Montgomery Afi. H FEER n 和 vr HR, MAR 
们 必须 使 用 奇数 n。 首 先 我 们 必须 处 理 几 个 注意 事项 。 

我 们 可 以 利用 一 些 简单 的 检测 来 前 明之 前 同 余 式 的 正确 性 。 我 们 用 表达 式 tn'modr 代 
替 式 (6-8) 左 边 的 m, 1 FR (6-9), Ria FA tin 一 r Len'/r | © ZÆ en’ mod r 得 到 
sO (6-10), FRAZER (6-10) H, MF—-P MEN CZ. 用 (rr 一 1)/n 表示 nn 得 到 
式 (6-11)。 最 后 通过 模 nn 约 简 ， 我 们 得 到 式 (6-12): 


t + mn t+nltn' mod r) 








SS (6-9) 
r r 
= fey eal (6-10) 
r r 
oe — 1) (6-11) 
= tr 'modn (6-12) 


总 结 式 (6-8)， 我 们 记录 如 下 : On. t, rEZ, H E ecd(n, r)=1, n t=—n 
mod r. 对 于 
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FCE) := f+ (tn' mod r)n (6-13) 
我 们 有 
f(t) = t mod n (6-14) 
fa) = 0 mod r (6-15) 
我 们 稍 后 再 回 到 这 个 结 


为 了 应 用 Montgomery Afii, 我们 将 模 2” 的 计算 转移 到 一 个 完全 剩余 系 ( 参 见 第 5 章 ) 
R := Rir: t= {ir mod n|0 <i <n} 
其 中 r 是 一 个 合适 的 值 , r t= 20 H 2 之 n 二 2*:。 接 着 ,我 们 定义 两 个 RR 中 的 数字 a 和 
b 的 Montgomery RA “X”, 
a X b:= abr ` mod n 
r 代表 > 模 ? WA WTR. 我们 有 
aXb= Cr) Grr! = (ij)r modn E€ R 
因此 对 R 的 成 员 进 行 X 的 结果 依旧 在 R e Montgomery 乘积 用 Montgomery 约 简 得 到 ， 
这 里 依旧 有 nn t=—n ' mod r。 从 nn 我们 可 以 推导 出 表达 式 1 二 gcd(n， r)=rr—n n, TE 
10.2 节 之 前 ， 我 们 利用 扩展 的 欧 几 里 得 算法 预先 计算 这 个 式 子 。 从 这 个 1 的 表达 式 我 们 可 
以 立即 得 到 
1 =y r mod n 
以 及 
l =— n'n mod r 
HLI r'=r ' mod n ter 模 n 的 乘法 道 元 素 , n =n ' mod rin Er WAI BARS IW 
10. 2 节 ， 我 们 在 这 里 稍微 提前 使 用 ) 。Montgomery 乘积 依照 下 面 的 算法 进行 。 


在 R(r, 17) 中 计算 Montgomery $R aX b 
1) & teab, 


2) 4 m<tn' mod r., 


3) A ux-(t+mn)/r(4 LIME, Be RA), 
4) 如 果 uzn, Hhu—n; 否则 ， 输 出。 基于 上 面 所 选 的 参数 ,我 们 有 a, bn 
Vem, nlr 和 二 2n。 参 见 式 (6-21)。 














Montgomery 乘积 需要 3 次 长 整 型 的 乘法 ， 一 次 在 步骤 1， 两 次 在 步骤 2 和 3 实现 约 
简 。 我 们 举 个 小 数值 的 例子 来 具体 阐明 ; BE @ = 386, b= 257, n=533, WEHb, $ r=2". 
FE n =n! mod r=707, m=6, t+mn=102400, u=100, 

要 进行 模 奇 数 n 的 乘法 ab mod n, 我 们 首先 转化 a 一 ar mod n, b'<br mod n #) R 
中 ， 接 着 构造 Montgomery 乘积 p<-a Xb 二 a br | modn， 然 后 由 pep X1=—pr'!=ab 
mod n 得 到 想 要 的 结果 。 不 过 ,我们 可 以 在 一 开始 就 令 pa X55， 从 而 避免 了 5 的 转化 以 
及 最 后 一 步 的 逆转 换 。 最 终 我 们 得 到 如 下 算法 。 














FA Montgomery 乘积 计算 p=ab mod n(n AAA) 
D 确定 7 :二 2*， 满足 2”!' 之 hn 过 2*。 用 扩展 的 欧 几 里 得 算法 计算 1=r'r—n'n, 
2) 4 a'<ar mod n, 


3) 令 p<-a Xb, 并 输出 Px 
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我 们 再 举 个 小 数值 的 例子 进行 说 明 : 设 4==123, b=456, r 二 2”。 接 着 计算 n= 
一 7 ' mod r=963, a =501, FÆ p=a' Xb=69=ab mod n, 

由 于 步骤 1 和 2 中 对 x 和 的 预计 算 十 分 耗 时 ， 且 这 个 版 本 的 Montgomery 约 简 在 它 
的 资产 负债 表 上 依旧 包括 两 次 长 数值 的 乘法 ， 所 以 与 常规 模 乘 相 比 ， 该 算法 确实 有 更 多 的 
计算 开销 。 因 此 使 用 Montgomery 约 简 进行 单 次 乘积 是 不 划算 的 。 

不 过 ， 当 要 进行 多 次 模 乘 且 模 数 为 常数 时 ， 费 时 的 预计 算 就 只 需 进 行 一 次 ， 结 果 则 令 
人 满意 得 多 。 尤 其 适合 于 使 用 Montgomery 乘积 的 是 模 血 运算 ， 对 此 我 们 需要 适当 地 修改 
M HWRE. Arte, RIEKE e= Cen eno eo) M n= Cn n- e)re 分 别 为 指数 e 
和 模 数 n 以 B=2 为 基数 的 表达 式 。 下 面 的 算法 使 用 Montgomery RREZ, PIF FF a 
mod 2， 其 中 了 为 奇数 。 取 寺中 出 现 的 平方 变 成 Montgomery 乘积 aXa， 计 算 它 时 我 们 可 
以 利用 平方 运算 的 优势 。 


使 用 Montgomery 乘积 的 模 n(n AAW) BBE 
1) Ar<B=2", 4IARKLEBRE, 计算 1 一 rr —nn'. 


2) 4a<ar mod ns Æ R, nn) 中 使 用 Montgomery #42 < i+ HEAR Ra’, as ts a 
3) to Re, 170, AF eni =2ulu AFR), & pelar 


如 果 Cm—1 = 令 p«r mod M o 


每 种 情况 都 令 i<-m 一 2。 

如 果 e=0, A px p> =(P k EF AFP? =pX p). 
如 果 ei 天 0， 因 子 e,=2ulu AFR), 4 px(p® | Xa"), 
如 果 ;之 0， 令 i<-i 一 1， 转 到 步骤 4。 

输出 Montgomery 乘积 pX1. 





算法 进一步 改进 的 可 能 性 更 多 地 在 于 实现 Montgomery Fe BLAS Ey, hi AN E T E ae 
法 ， 如 S. R. Dussé 和 B. S. Kaliski 在 [DuKa | 中 所 论证 的 : 在 上 页 计算 Montgomery 乘积 
的 步骤 2 中 ， 我们 可 以 避免 在 模 7 约 简 时 进行 m<-tn mod r 的 赋值 。 此 外 ， 在 执行 Mont- 
gomery 约 简 时 我 们 可 以 用 计算 no =n" mod B 代替 n'。 我 们 还 可 以 建立 数字 metn 模 
B, HÈS nR, MAT B 进行 缩放 ， 再 加 上 上。 为 了 计算 ab mod nla, b<n), FER n 
AZ ERA BRIAR n= (Cn 1-2) a> HS r 二 Bl, rr 一 nn =1, ny =n mod B, 


Dussé 和 Kaliski 对 Montgomery 乘积 aXb 的 计算 
1) 令 t<ab. ni<n' mod B, ix-0, 

2) 4 m,<t;n> mod Bím; 是 单位 数 整 数 ) 。 

3) & t<«t+mnB' 。 


4) 令 i<-i 十 1]， 如 果 i<l—1, HSH R 2。 
5) 令 tet/r. 
6) 如 果 1 宇 n， 输 出 1 一 n; SW. MH et. 





Dussé 和 Kaliski 指出 ， 他 们 马 妙 侧 化 的 基础 ， 是 在 Montgomery 约 简 中 令 上 为 > 的 倍 
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数 ， 但 是 他 们 没有 给 出 证 明 。 在 我 们 使 用 这 个 程序 之 前 ， 我 们 希望 弄 清 楚 为 什么 它 可 以 计 
算 a Xb。 下 面 的 论述 是 基于 Christoph Burnikel Æ| Zieg | 中 的 证 明 ， 
在 步 又 2 和 3 中， 算法 利用 递归 方法 
上 ”三 ab (6-16) 


Ror = £(&)B a a S (6-17) 


THT FPPC? Dio 其 中 

f(t) = t+ (CG mod B)(—n''!' mod BY mod B)n 
是 我 们 已 经 熟悉 的 由 Montgomery 方程 ( 见 式 (6-13)) 推 导出 的 函数 ， 且 在 f(D > r<B, 
序列 二 的 元 素 有 以 下 特性 


t” = 0 mod B (6-18) 
t” = ab mod nñ (6-19) 
(J) 
= = abr mod n (6-20) 
p? 
= < 2 (6-21) 


rh (6-18) MIZÈ (6-19) FEM IÈ (6-14), 3006-15), 3006-14) Ash (6-17) PRA HE IY. HM 
式 (6-18) 我 们 可 以 得 到 Be Sr |e. 根据 Sab mod 72， 得 到 式 (6-20) ， 最 后 我 们 基于 


{ 一 ] 
ZO eg OF n>) m;B' < 2nB' 


1 一 


得 到 式 (6-21)( 注 意 ， 这 里 z2 =ab<in’<nB'), 
该 约 简 的 开销 本 质 上 是 由 与 模 数 大 小 同 数量 级 的 数 的 乘法 决定 的 。 这 个 对 Montgom- 
ery 乘积 的 转换 可 以 用 代码 优美 地 实现 ， 且 它 构成 了 乘法 程序 mul 1 () 的 核心 。 


功能 : Montgomery 乘积 
语法 : void mulmon 1 (CLINT a_l, CLINT b 1, CLINT n 1l, USHORT nprime, 
USHORT logB £, CLINT p 1); 
输入 : al. b 1(Af afb) 
n I n>a, b) 
nprime(n mod B) 
logB r(r Æ A B=2" 为 底 的 对 数 ; 必须 保证 BIE Sn< BY) 
输出 : p 1(Montgomery R aXb=a*b»r ' mod n) 





void 
mulmon 1 (CLINT a 1, CLINT b 1, CLINT n 1, USHORT nprime, 
USHORT logB_r, CLINT p 1) 

{ 

CLINTD t_l; 

clint *tptr_l, *nptr_l, *tiptr_l, *lasttnptr, *lastnptr; 
ULONG carry; 

USHORT mi; 

int i; 


mult (al, b1, tij 
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lasttnptr = t 1 + DIGITS L (n 1); 
lastnptr = MSDPTR_L (n_1); 
早期 对 mult () 的 运用 使 得 a 1 与 b_ 1 工 能 够 无 溢出 地 相 乘 (参见 第 5 章 )。 对 于 Mont- 
gomery FA, RA fy PRA sqr() 。 七 1 有 充足 的 空间 来 存储 结果 。 之 后 给 t 1 添加 前 
寻 零 ， 以 便 在 七 工 小 于 n 1 的 位 数 时 ， 使 它 两 倍 于 n 1 的 位 数 。 
for (i = DIGITS L (t 1) + 1; i <= (DIGITS L (n 1) << 1); i++) 
{ 
t IIJ =ý; 
} 
SETDIGITS_L (t 1, MAX (DIGITS_L (t_1), DIGITS_L (n 1) << 1)); 
通过 下 面 的 两 次 循环 ， 局 部 乘积 12j7B' (HP m =tni a — Ai AA HH kH 
到 七 1 上。 而 有 全， 这 里 的 代码 基本 上 就 是 我 们 乘法 函数 的 代码 。 
for (tptr 1 = LSDPTR_L (t 1); tptr 1 <= lasttnptr; tptr_1++) 
{ 
carry = 0; 
mi = (USHORT)((ULONG)nprime * (ULONG)*tptr 1); 
for (nptr_1 = LSDPTR_L (n_1), tiptr_l = tptr l; 
nptr 1 <= lastnptr; nptr_l++, tiptr_1l++) 


{ 
*tiptr 1 = (USHORT)(carry = (ULONG)mi * (ULONG)*nptr 1 + 
ptr_ y = 


(ULONG)*tiptr_1 + (ULONG)(USHORT)(carry >> BITPERDGT)); 


} 
在 下 面 的 内 部 循环 中 ， 一 个 潜在 的 溢出 被 转移 到 七 1 的 最 高 有 效 位 ， 为 此 七 工 添 加 了 


一 个 额外 的 二 进 制 位 以 防 万 一 。 这 一 步 是 必需 的 ， 因 为 七 1 在 主 循 环 的 起 始 被 赋予 了 一 个 
值 ， 而 不 是 像 p 1 AMM RL 0 来 进行 初始 化 。 
1 
((carry >> BITPERDGT) > 0) && tiptr 1 <= MSDPTR L (t 1); 
tiptr_1++) 
{ 
*tiptr 1 = (USHORT)(carry = (ULONG)*tiptr l + 
(ULONG) (USHORT) (carry >> BITPERDGT)); 
} 
if (((carry >> BITPERDGT) > 0)) 


{ 
*tiptr 1 = (USHORT)(carry >> BITPERDGT); 


INCDIGITS L (t 1); 

} 
} 
接着 是 除 以 B' 的 运算 ， 我 们 把 t 1 右 移 logB r 位 ,或 者 忽略 七 1 的 logB 上 位 最 低 
有 效 位 。 然 后 ， 如 果 需 要 ， 在 七 1 作为 结果 放 入 p_1 被 返回 之 前 ,， RMH t 1 减 去 模 


数 n 1。 
tptr 1 = t_l + (logB r); 
SETDIGIT L (tptr 1, DIGITS L (t 1) - (logB r)); 
if (GE L (tptr 1, n 1)) 
{ 
sub 1 (tptr 1, n 1, p 1); 
} 
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else 
{ 
cpy 1 (p 1, tptr 1); 
} 
} 
与 这 个 函数 相 比 ，Montgomery 平方 sqrmon 1() 只 有 少许 不 同 : 函数 调用 中 没有 参 
数 p_1， 我 们 使 用 平方 函数 sqr (a_1, t_1) 替 代 了 用 mult (a_l, bl,t1) 计 算 乘 法 ， 它 
同样 也 忽略 了 一 个 可 能 的 溢出 。 然 而 ， 在 使 用 Montgomery 方法 计算 模 平 方 时 ， 我 们 必须 
注意 在 计算 p'<-a’ Xa' 之 后 ， 必 须 进行 反 向 转换 p<p'X1=p” =a mod n, 


Montgomery 平方 
void sarmon. 1 (CLINT a l; CLINT n 1, USHORT nprime, USHORT logB _ 
ry CLINT p 1); 

: a l(AF a), n 1 n>a) 


nprime(n’ mod B) 
logB r(r AB=2" ARITA; 必须 保证 BOP l<pn< Bre) 
输出 : p 1(Montgomery 平方 or ' mod n) 





Dussé 和 Kaliski 在 他 们 的 文章 中 也 提出 了 下 面 的 扩展 欧 几 里 得 算法 的 变 体 ， 在 计算 
20 一 2 mod B 时 ,使 用 该 算法 可 以 减 小 预计 算 的 开销 。 我 们 将 在 10. 2 节 中 详细 介绍 它 。 
对 ;二 0， 该 算法 计算 一 n” mod 2 ， 为 此 需要 长 整数 算术 。 


对 s>0 MAA n， 计 算 逆 一 n ”' mod 2 的 算法 

1) & 了 

2) wR a<ny mod z, MA y<ytez. 

3) 令 X<-2X，1i<-i 十 1]; 如 果 i 三 ;3， 跳 转 到 步 又 2。 
4) 输出 工 一 y。 





用 完全 归纳 法 我 们 可 以 发 现 ， 在 算法 的 步 又 2, yn=1 mod r 总 是 成 立 ， 于 是 有 
y=n ' mod z, 4 r EPR 3 中 增长 到 2 HJ, WRA s 的 值 使 得 2 =B， 则 可 以 利用 
2°—y=—n' mod 2° 得 到 期 望 的 结果 。 在 FLINT/C 源 代 码 中 ， 在 invmon () 下 可 以 找到 
该 算法 的 短 函 数 。 函 数 只 有 一 个 参数 ( 模 数 2) ， 并 输出 值 一 ” mod B., 

这 些 考虑 都 涵盖 在 函数 mexp5m 1 () 和 mexplm 11() 的 创建 中 ， 我 们 在 这 里 只 给 出 它们 
的 接口 和 一 个 计算 示例 。 


模 数 为 奇数 的 模 因 (使 用 Montgomery 乘积 的 2° 进 制 或 2* 进 制 方法 ) 
int mexpSm 1 (CLINT bas 1, CLINT exp 1, CLINT p 1, CLINT m 1); 
int mexpkm 1 (CLINT bas 1, CLINT exp 1, CLINT p 1, CLINT m 1); 


: bas 1( 底 数 ) 
exp 1( 指 数 ) 
m 1( 模 数 ) 
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输出 : p RAR) 
返回 : E CLINT OK， 如 果 成 功 


E CLINT DBZ， 如 果 除 数 为 0 
E CLINT MAL， 如 果 出 现 malloc() 错 误 
E CLINT MOD， 如 果 模 数 为 偶数 





这 两 个 函数 利用 了 程序 invmon 1() 、mulmon 1() 和 sqrmon 1() 来 计算 Montgomery 乘 
积 。 它 们 基于 函数 mexp5 1() 和 mexpk 1() ， 按 照 上 述 取 需 算 法 进行 修改 实现 的 。 

我 们 使 用 与 M 进 制 取 第 相同 数值 的 示例 在 mexplm 1() 中 重建 Montgomery WR: MJ xt 
程 。 在 下 面 的 步骤 中 我 们 将 计算 才 1234 mod 18577; 

1. 预计 算 

将 指数 e= 667 用 基数 2 (k= 2) ern (GB LG 6 BE Montgomery 取 适 算法 )， 从 而 指数 e 

e = (1010011011),2 

Montgomery 约 简 中 的 值 r HW r=2'° =B=65 536, 

现在 计算 no 的 值 ny =34 703。 

将 基数 a 转化 到 剩余 系 R(r， nn) 中 ， 方 法 如 下 

@ = ar mod n= 1234 « 65.536 mod 18577 = 5748 

Rr, MP a WB a? = 9227, AAT RB), MU Ate BMI SY a WE 

2. Male 





指数 ce, = 2 21 .1 2l e] 20 e] 21 .1 2° +3 
P-P — 16 994 3682 14511 11 066 
zeg 6646 一 12 834 
万 < PXa 5743 15 740 8707 16 923 1583 
p< 9025 11 105 - 1628 


3. 结果 
Petia. Fe p 的 值 为 : 
p= pX1= PF modn= 15887 mod n = 4445 

如 果 你 对 重 构 函数 mexp5m 1() 和 mexpkm 1() 的 代码 细节 以 及 与 图 数 mexpkm 1 () +48 
关 的 示例 的 计算 步骤 感 兴趣 ， 可 以 参看 FLINT/C 源 代码 。 

在 本 章 的 开头 ， 我 们 构造 了 函数 wmexp 1()， 它 的 优势 在 于 当 底 数 较 小 时 ， 只 需要 进行 
CLINT* USHORT mod CLINT 类 型 的 乘法 ppa mod m。 为 了 在 这 个 函数 中 利用 Montgomery 
约 简 ， 我 们 与 在 mexpkm 1() 中 那样 ,也 通过 使 用 快速 求 逆 函数 invmon 1 () 将 模 平方 运算 调 
整 为 Montgomery 平方 ， 尽 管 我 们 没有 改变 乘法 运算 。 我 们 能 够 这 样 调整 ， 因 为 在 Montgom- 
ery 平方 和 传统 模 交 乘法 的 计算 步骤 中 有 ， 

(a’r ')b=(a’b)r' mod n 
我 们 没有 放弃 上 面 引 入 的 剩余 系 RO, n)={ir mod n|O0ONi<in), jx ot RE ER 11 48 BGS 
用 于 USHORT 类 型 指数 和 奇数 模 数 的 函数 wmexpm 1 () 及 其 对 偶 函 数 umexpm 1() ， 它 们 与 
两 个 传统 函数 wmexp 1() 和 umexp 1() 相 比 有 明显 的 速度 优势 。 对 于 这 两 个 函数 ， 这 里 我 
们 也 只 给 出 接口 和 一 个 数值 示例 ， 读 者 可 以 在 FLINTVC 源 代 码 中 查看 细节 。 
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: 使 用 Montgomery J & th #& H (A A] 3} È USHORT 类 型 的 底数 和 USHORT 类 
型 的 指数 ， 模 数 为 奇数 ) 

: int wmexpm 1 (USHORT bas, CLINT e 1, CLINTp 1, CLINT m 1); 
int umexpm 1 (CLINT bas 1, USHORT e, CLINT p 1, CLINT m1); 


: bas, bas 1( 底 数 ) 

e、e 1( 指 数 ) 

m 1( 模 数 ) 
: p_1(bas™ mod m 1 或 bas 1° mod m 1 的 剩余 ) 
: E CLINT OK， 如 果 成 功 

E CLINT DBZ， 如 果 出 现 除 以 0 

E CLINT MOD， 如 果 模 数 为 偶数 





图 数 wmexpm 1 () 是 为 10. 5 节 中 的 素性 测试 专门 设计 的 ， 可 以 直接 调用 我 们 现在 编写 
的 函数 。 我 们 仍 用 前 面 使 用 的 例子 1234” mod 18 577 来 说 明 该 函数 。 

1. 预计 算 

指数 的 二 进 制 表达 式 为 e 二 (1010011011);。 

Montgomery 约 简 中 的 7r 值 为 r 二 2" 二 B= 二 65 536 。 

no 的 值 在 前 面 已 经 计算 过 ,为 n =34 703。 

万 的 初始 值 设 为 5<_pr mod 18577, 

2. Maem 


指数 位 1 0 l 0 0 | 1 0 1 1 





在 Rr, n)P 万 < 万 义 万 9805 9025 16994 11105 3682 6646 14 511 1628 11066 9350 
p~-pa mod n 0743 15 740 8707 16 923 一 1349 1583 


3. 结果 
meta. Fe p 的 值 为 : 
p= pX1= pr mod n = 1588 mod n = 4445 

在 LBossj 中 ， 对 Montgomery 约 简 及 各 种 优化 版 本 的 时 间 特 性 进行 了 详细 的 分 析 。 在 
那 本 书 中 我 们 可 以 做 到 比 使 用 Montgomery 乘法 的 模 宕 运算 节省 107% ~20% WAT TA]. ESR 
D 对 FLINT/C 函数 的 一 般 计算 时 长 做 了 概述 ， 而 我 们 的 实现 完全 证 实 了 这 个 声明 。 可 以 确 
定 的 是 ， 利 用 Montgomery 约 简 的 取 知 芳 数 只 能 用 于 求 奇 数 的 模 。 但 是 ， 对 许多 应 用 来 说 ， 
如 加 密 解 密 以 及 计算 RSA 数字 签名 (人 参见 第 17 E), RŽ mexp5m 1 () 和 mexpkm 1() 确 实 是 
个 不 错 的 选择 。 

我 们 总 共 已 经 和 擎 握 了 数 种 有 用 的 模 才 图 数 ， 作 为 总 结 ， 我 们 在 表 6-5 中 列 出 了 这 些 函 
数 以 及 它们 的 性 能 说 明和 应 用 领域 。 


表 6-5 FLINT/C 中 的 取 寡 函数 


PKI RL 应 用 领域 
mexp5 1 () 常规 2° DERE. AG SEPARA. BER ROR 
mexpk 1 () CLINT 类 型 数字 的 最 优 & 值 常规 2 进 制 取 每 ,需要 分 配 内 存 ， 较 低 栈 需求 


mexp5m_1 () 模 数 为 奇 时 的 2° 进 制 Montgomery 取 短 ,不 需要 分 配 内 存 ， 较 高 栈 需求 
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( 续 ) 
函数 应 用 领域 

mexpkm 1 () CLINT 类 型 数字 (最 大 4096 二 进 制 位 ) 的 最 优 k 值 2* 进 制 Montgomery WE. ERAR. 
需要 分 配 内 存 ， 较 低 栈 需求 

umexp_1 () i EE. RE BO CLINT 类 型 ， 指 数位 USHORT 类 型 ， 较 低 栈 需 求 

umexpm_1 () 利用 Montgomery 算法 的 混合 二 进 制 取 需 ， 底 数 为 CLINT 类 型 ， 指 数位 USHORT 类 型 HK 
数 为 奇数 ， 较 低 栈 需 求 

wmexp_1 () i A — HE tl] CE. JE RCA USHORT 类 型 ， 指 数 为 CLINT 类 型 ， 较 低 栈 需求 

wmexpm_1 () 使 用 Montgomery FHRA HEA WE. JERO USHORT 类 型 ， 指 数位 CLINT 类 型 K 
数 为 奇数 ， 较 低 栈 需 求 

mexp2_1 () 指数 为 2 的 寡 的 混合 取 寡 图 数 ， 较 低 栈 需 求 


6.5 取 和 器 运算 的 密码 学 应 用 


在 这 一 章 中 我 们 致力 于 对 知 的 计算 ， 现在 也 是 时 候 了 解 模 帘 在 密码 学 应 用 中 能 够 起 到 
何 种 作用 。 能 想到 的 第 一 个 例子 自然 是 ，RSA 程序 ， 它 需要 模 和 窜 运 算 来 进行 加 密 解 
密 一 一 假设 有 合适 的 密 钥 。 然 而 ,希望 读者 有 一 点 (或 者 一 些 ) 耐 心 ， 因 为 对 于 RSA 程序 
我 们 需要 了 解 更 多 的 东西 ,我 们 将 在 下 一 章 中 讲解 。 而 在 第 17 章 中 我 们 还 会 回 到 这 个 
问题 。 

对 那些 不 能 再 等 待 的 读者 ， 我 们 提供 两 个 重要 的 算法 作为 取 老 运算 应 用 的 例子 ， 即 
Martin E. Hellman 和 Whitfield Diffiel Diff |Æ 1976 年 提出 的 密 钥 交换 程序 ， 以 及 作为 Dif- 
fie-Hellman 算法 一 个 扩展 的 Taher ElGamal 加 密 程 序 。 

Diffie-Hellman 算法 标志 着 密码 学 的 一 次 突破 ， 即 它 是 第 一 个 公 钥 (或 非 对 称 ) 密 码 系 
统 ( 人 参见 第 17 章 )。 该 算法 发 表 两 年 后 ，Rivest、Shamir 和 Adleman 公布 了 RSA 算法 ( 参 
见 LRive])。 今天 我 们 在 因特网 通信 和 安全 协议 IPSec、IPv6 和 SSL 中 使 用 Diffie-Hellman 
算法 的 变 体 进行 密 钥 分 配 ， 设 计 这 些 协 议 是 为 了 在 IP 协议 层 数 据 包 传递 以 及 应 用 层 ( 如 电 
子 商务 领域 ) 数 据 传输 中 保证 安全 。 所 以 密 钥 分 配 理念 的 实际 意义 是 极其 重要 的 5，。 

在 Diffie-Hellman 协议 的 帮助 下 ， 两 个 通信 者 A 小 姐 和 B 先生 能 够 以 一 种 简单 的 方式 
协商 密 钥 ， 之 后 用 该 密 钥 加 密 双 方 的 通信 内 容 。A 和 B 约定 好 一 个 大 素数 p 和 模 p 的 原 根 
a( 我 们 会 在 后 面 解 释 )，Diffie-Hellman 协议 如 下 运行 。 


Diffie-Hellman 密 钥 交换 协议 
1) A 选择 一 个 任意 值 zs 三 p 一 1]， 并 把 ya =a" mod 请 作为 她 的 公 钥 发 送 给 B, 
2) B 选择 一 个 任意 值 zp 三 pp 一 1]， 并 把 ys *=a"™ mod pFAMHAARIES A, 


3) A 计算 密 钥 sa :二 ys mod p. 
4) B 计算 密 钠 SB == 47,4 B mod Po 





Sa = yb mod p = asa 三 yA = sp mod p 


昌 了 了 安全 (IPSec)， 由 因特网 工程 任务 组 CIETF) 开 发 ， 作 为 一 个 扩展 安全 协议 ， 它 是 未 来 因特网 协议 IPv6 的 
一 部 分 。 它 的 设计 使 得 它 也 可 以 在 当前 的 因特网 协议 (IPv4) 框 架 下 使 用 。 安 全 套 接 层 (SSL) 是 由 Netscape 
《网 景 ) 公 司 开发 的 一 个 安全 协议 ， 它 位 于 TCP 协议 之 上 ， 为 如 HTTP, FTP 和 SMTP( 这 些 应 用 参见 [Stal] 
第 13、14 章 ) 等 应 用 提供 端 到 端 安 全 。 
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所 以 步骤 4 之 后 ，A 和 B 就 协商 得 出 了 一 个 共同 的 密 钥 。 值 p 和 a 不 需要 保密 ， 步 骤 1 和 
tg ee eh ttre 破 
坏 系 统 的 难度 等 价 于 在 Z, 中 从 ya 或 ys 计算 出 zx 或 zs。 在 一 个 有 限 循环 群 中 从 a” 和 
a* 计算 a*( 即 Diffie-Hellman 问题 ) 与 计算 离散 对 数 同样 困难 ， 因 此 认为 它们 是 等 价 的 ， 
不 过 这 一 点 只 是 猜想 并 未 得 到 证 明 ， 

在 这 些 条 件 下 ,为 了 保证 程序 的 安全 性 ， 模 数 p 必须 足够 大 (至 少 1024 位 、2048 或 
更 多 位 更 好 ， 见 表 17-1)， 且 必须 保证 p 一 1 含有 一 个 与 (p 一 1)/2 接近 的 大 素数 因子 ， 以 
便 排除 使 用 特殊 方法 计算 离散 对 数 的 情况 (这 种 素数 的 构造 程序 将 在 第 17 章 中 与 强 素数 
(如 RSA 算法 中 使 用 的 素数 ) 的 生成 一 起 介绍 )。 

这 个 程序 的 优势 在 于 密 钥 可 以 随时 根据 需要 生成 ， 而 不 用 长 时 间 保 存 秘 密 信 息 。 此 
外 ， 使 用 程序 时 不 需要 其 他 必需 的 基础 结构 元 素来 商定 参数 a 和 p。 然 而 ， 该 协议 也 有 一 
些 消极 特性 ， 其 中 最 严重 的 就 是 交换 参数 ya 和 ys 时 缺少 身份 验证 证 明 。 这 使 得 程序 容易 
受到 中 间 人 攻击 ， 即 攻击 者 XER A 和 B 的 消息 ， 获 取 ys 和 ys 并 用 他 自己 的 公 钥 yx $ 
换 后 发 送 给 A、B。 

iG, A 和 BB 计算 “ 密 ” 钥 sh =y mod p UR skh :二 yx mod p, m X 则 通过 
ya x =a = yy" =sh mod p 计算 sas， 并 用 类 似 的 方法 得 到 ss。 这 样 ，Diffie-Hellman H 
议 就 不 是 在 A 和 B 之 间 运 行 ， 而 是 在 X 与 A 之 间 以 及 X 与 BB 之 间 运 行 。 从 X 的 位 置 就 可 
以 解密 从 A 或 BB 接收 的 消息 ， 并 用 算 改 的 消息 蔡 换 它们 后 ERDA AAA MENS 
从 密码 学 观点 来 看 ， 参 与 者 A 和 B 对 所 发 生 的 事情 一 无 所 知 。 

为 了 能 在 利用 其 优势 的 同时 弥补 这 些 瑕 辛 ， 人 们 已 经 提出 了 数 种 变种 和 扩展 以 便 在 因 特 
网 中 应 用 。 它 们 都 考虑 了 密 钥 信息 交换 身份 验证 的 必要 性 。 这 一 点 可 以 通过 一 些 方法 来 实 
现 ， 比 如 参与 者 用 认证 机 构 发 布 给 他 的 证 书 对 公 钥 进行 数字 签名 (参见 17.3 节 )， 且 这 种 方 
法 已 经 在 SSL 协议 中 实现 了 。IPSec 和 IPv6 使 用 一 个 名 为 ISAKMP/Oakley “的 复合 构建 程 
序 ， 这 个 程序 克服 了 Diffie-Hellman 协议 的 所 有 缺点 (参见 LStalj 第 422 一 423 页 ) 。 

使 用 下 面 的 算法 (参见 LKnutj3. 2.1.2 节 ， 定 理 C) 可 以 得 到 模 p 的 一 个 原 根 ， 也 就 是 
(fia, (EN a mod p(i 一 0，1，…，p 一 2) 包 含 乘 法 群 Z; = 二 {1，…，p 一 1} 所 有 的 
元 素 (参见 10. 2 节 )。 我 们 假设 Zs 的 阶 p 一 1 的 素数 因子 p 一 1 二 Ph…P% CA. 








寻找 模 p 的 原 根 
1) 选择 一 个 随机 整数 aE10，p 一 1 |, 令 i] 


2) HE t<a’ A mod p 
3) 如 果 1 二 1， 转 到 步骤 1; SM. Ai<i4+1, WHi<k, HBAFR2; Hick, 
输出 a， 并 终止 算法 。 


该 算法 用 下 面 的 函数 实现 。 

功能 : 即时 生成 模 p 原 根 (p 为 大 于 2 的 素数 ) 

语法 : int primroot 1 (CLINT a 1, unsigned noofprimes, clint **primes 1); 
名 ”计算 离散 对 数 的 问题 ， 参 见 LSchn]11.6 W. 以 及 [Odly]。 
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输入 : noofprimes( 群 阶 p 一 1 的 不 同 素 因 子 的 个 数 ) 
primes 1( 指 向 CLINT 对 象 的 指针 数组 ， 从 p 一 1 FH, 接着 是 群 阶 p 一 1 
的 素数 因子 pis s pes F k=noofprimes) 


输出 : a 1( 模 p 1 的 原 根 ) 
返回 : E CLINT OK， 如 果 成 功 
一 1， 如 果 p 一 1 为 奇数 。 因 此 力 不 是 素数 





int 
primroot 1 (CLINT a_l, unsigned int noofprimes, clint *primes 1[]) 
{ 
CLINT pl, t_l, junk l; 
ULONG i; 
if (ISODD L (primes 1[0])) 
{ 


return -1; 


} 
primes 1L0j] 存 储 了 p 一 1， 我们 可 以 从 中 得 到 p 1。 
cpy 1 (p 1, primes 1[0]); 
ine 1 (p1); 
SETONE L (a 1); 
do 
{ 
ine 1 (a D; 
我 们 只 将 大 于 或 等 于 2 的 自然 数 作 为 原 根 的 候选 a 进行 检测 。 如 果 a 是 平方 数 ， 那 么 
a 不 会 是 原 根 模 户 ， 因 为 那样 就 有 4 =l mod p, Hath% =pl, a 
是 平方 数 ，a 1 就 被 增 大 了 。 我 们 使 用 函数 issqr 1() (参见 10. 3 节 ) 来 检验 a 1 是 否 是 
if (issar 1 (a1, t_1)) 
as (a1); 
} 
is i 
ta” Pi mod p 的 计算 在 步骤 2 中 进行 。 我 们 使 用 Montgomery RAHA, 将 所 有 
的 素 因 子 p; 依次 检验 ， 如 果 找 到 一 个 原 根 ， 则 输出 到 a 1 中 。 
do 
{ 
div 1 (primes 1[0], primes 1[i++], t 1, junk 1); 
mexpkm (Rd t_l, t_l, bp Ls 
} 
while ((i <= noofprimes) && !EQONE L (t 1)); 
0 (EQONE L (t 1)); 


return E CLINT OK; 
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现在 我 们 考虑 取 震 算法 应 用 的 第 二 个 例子 ，Diffie-Hellman 程序 的 扩展 一 一 ElGamal 
加 密 程序 ， 它 在 计算 离散 对 数 的 困难 性 方面 提供 安全 性 ， 因 为 破解 该 程序 与 解决 Diffie- 
io Le 良好 隐 和 和 加密 (PGP) 是 用 来 加 密 和 签名 电子 邮件 和 文档 举世 闻名 
的 的 程序 ， 它 的 发 展 本 质 上 是 遵循 Phil Zimmermann 的 工作 ,使 用 ElGamal 程序 来 进行 密 
钥 管理 (参见 [Stal]12. 1 节 )。 

参与 者 A 按照 下 面 的 算法 选择 一 个 公 铀 和 相关 联 的 私 钥 。 


DIGamal 密 钥 生成 
1) A 选择 一 个 大 素数 p， 使 得 p 一 ] 有 接近 (pp 一 1)/2 的 大 素数 因子 ， 并 按照 之 前 
描述 的 方法 选择 夹 法 群 Z， 的 一 个 原 根 a。 


2) A 选择 一 个 随机 数 x 满足 1 三 x 二 p 一 1]， 并 利用 Montgomery RR HK H 
b :=a* mod p. 
3) A 使 用 三 元 组 (p， As b) a Ve A ZA. XM A FLSA Ap, As Tiis 





参与 者 B 可 以 用 公 和 钥 三 元 组 (p，a，6b)。 加 密 一 条 消息 ME {1，…，p 一 1} 并 发 送 给 
A。 过 程 如 下 。 


ElGamal 加 密 协 议 
1) B 选择 一 个 随机 数 y, 满足 1 三 y 二 pp 一 1。 


2) Bit Ë a *=a” mod p 和 有 == Mb” mod p= (a*)” mod p. 
3) BRŽ ZX C :一 (ay 有) 给 和 A。 
4) AA Ciit M= =ß/a mod 访 计算 出 明文 。 





图 于 


a =M Č” =M mod p 
a W (a)? 


At AREF EEM. p/a JERA pa mod p 计算 的 。 
bp 的 长 度 取 决 于 不 同 的 应 用 ， 应 为 1024 位 或 更 长 ( 见 表 17-1)。 同 时 加 密 不 同 的 消息 
M, 和 M: 时 应 该 选择 不 同 的 随机 值 yi Aye. APM. M 
B_ Mb _ M 
b: M, b” M; 
就 可 以 知道 M, 与 M: 相同 。 考 虑 到 程序 的 实用 性 ， 我 们 应 该 注意 密 文 C 的 长 度 是 明文 M 
的 两 倍 ， 也 就 意味 着 ， 这 个 程序 的 通信 代价 要 比 其 他 方法 高 。 
我 们 前 面 介 绍 的 ElGamal 程序 有 一 个 有 趣 的 弱点 ， 就 是 攻击 者 可 以 通过 少量 的 信息 获 
得 明文 内 容 。 我 们 可 以 观察 到 循环 群 Z 包含 了 阶 为 (2 一 1)72 的 子 群 U :二 {a |x 为 偶数 } 
(参见 LFiscj 第 1 Æ$), MWE, WRA b=a Ma=a BFU, 那么 a” 自然 属于 U。 在 这 种 
情况 下 ， 如 果 密 文 8 属于 U， 明 文 M=fpa “就 也 属于 U。a* 和 8B 都 不 属于 U 时 ， 也 一 样 
有 M 属 于 U。 而 男 外 两 种 情况 ， 即 a* 和 8B 中 有 一 个 不 属于 U， 则 M 也 不 属于 U。 下 面 的 
准则 给 出 了 这 一 情况 的 信息 : 
1) a™*EUS(a EU 或 aYEU)。 是 否 有 BEU， 则 用 第 2 条 检验 。 
2) 对 所 有 ue Z, uEUSu t =], 
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有 人 可 能 会 问 ， 即 使 攻击 者 能 够 得 到 关于 M 的 这 样 的 信息 ， 又 能 怎样 呢 。 但 是 从 密 
码 学 的 角度 ， 这 是 一 个 让 人 难以 接受 的 情况 ， 因 为 攻击 者 并 不 需要 努力 就 把 搜索 的 消息 空 
间 缩 小 了 一 半 。 不 过 ， 在 实践 中 ， 这 一 点 是 否 可 接受 自然 取决 于 应 用 场景 。 当 然 ， 我 们 也 
可 以 把 它 当 作 选 择 较 长 密 钥 的 一 个 正当 理由 。 

此 外 ， 我 们 可 以 针对 这 个 弱点 采取 一 些 措施 ， 且 如 大 家 所 和 硕 望 的 那样 ， 不 引入 新 的 未 
知 弱 点 。 算 法 的 步骤 2 中 ， 乘 法 Mb” mod p AIAMAA VCH”), MR, 其 中 V 
是 一 个 合适 的 对 称 加 密 算法 (如 三 重 DES、IDEA 或 新 高 级 加 密 标准 Rijndael， 参 见 第 11 
章 )， 互 是 一 个 散 列 函数 ， 它 把 a* 压 缩 使 其 可 以 当 作 VV 的 密 钥 。 

我 们 对 模 帘 运算 的 应 用 举例 到 此 为 止 。 在 数论 中 ， 进 而 在 密码 学 中 ， 模 知 是 一 个 标准 
运算 ， 我 们 在 后 面 会 反复 地 使 用 它 ， 尤 其 是 在 第 10 章 和 第 17 章 中 。 此 外 ， 读 者 可 以 参阅 
[LSchr] 和 百科 全 书 式 的 著作 [LSchn] 与 [MOV] 中 的 描述 和 大 量 的 应 用 。 
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Tom Lehrer, (In My Home Town) 


“AZ,” 福山 间接 着 说 ，“ 如 果 以 前 是 ， 那 么 今后 也 可 能 是 ; BREA, H 
么 它 就 会 是 ; BARELA, CLA, AREH.” 
Lewis Carroll, (Through the Looking Glass) 





本 章 将 展示 对 CLINT 对 象 进行 位 运算 的 图 数 ， 以 及 判定 CLINT 对 象 相等 性 和 大 小 的 
晴 数 ， 这 些 函 数 我 们 已 经 使 用 过 很 多 次 了 。 

移 位 运算 作为 位 函数 中 的 一 员 ， 能 够 对 二 进 制 表 示 形 式 的 CLINT 参数 进行 按 位 移动 。 
当然 ， 位 函数 还 包括 其 他 函数 ,这些 函数 以 两 个 CLINT 对 象 作 为 参数 ， 能 对 其 二 进 制 形式 
进行 直接 操控 。 这 些 运算 都 可 以 应 用 在 算术 中 ， 下 面 描述 的 移 位 运算 能 使 大 家 对 应 用 方法 
一 目 了 然 ， 尽 管 在 4.3 节 中 ， 我 们 已 经 看 到 按 位 与 运算 如 何 用 于 模 2 的 老 的 约 简 运算 。 


7.1 移 位 运算 


需求 产生 一 切 转 换 。 
— Rabelais 


计算 一 个 表示 形式 为 4 一 (4, a, 4。…ao)s 的 B 进 制 数 a 乘 以 B" 的 最 简单 方式 是 “将 a 
左 移 。 位 ”。 上 述 理论 很 好 地 适用 于 二 进 制 表示 形式 ， 正 如 适用 于 我 们 熟知 的 十 进 制 乘法 
那样 。 

aB" = (Ay Ente Ge 4-4 °"" Ag) 
其 中 ， 
ee 

若 B 一 2， 则 上 述 等 式 对 应 一 个 数 的 二 进 制 形式 与 > 相 乘 的 情况 ; 车 B= 10， 则 对 应 
与 10 的 寡 相 乘 的 情况 。 

类 似 地 ， 对 一 个 数 做 整数 除法 ， 除 以 B 的 矫 ， 可 转换 为 这 个 数 的 每 一 位 都 右 移 ， 


a ae A A A A A 
Be == (än 1°°* Gye GAn-e-1 GAn-e—-2 *** Go ) g 
其 中 ， 
A — gt i A aes A — A e A E 
ay, p= i’ = Ue O ,Ur L = dy ] sdn 和 a, 2 q°** iy = a. 


fi B 二 2， 上 述 等 式 对 应 于 一 个 数 的 二 进 制 形 式 与 2* 相 除 的 情况 ， 当 然 ， 对 于 其 他 基数 也 
因为 CLINT 对 象 的 每 一 位 在 内 存 中 均 是 以 二 进 制 形式 存在 的 ， 所 以 CLINT 对 象 能 简 
单 地 通过 左 移 来 实现 乘 以 2 的 寡 的 运算 。 在 整个 过 程 中 ， 右 边 的 数字 移 到 相应 的 位 置 上 ， 
而 这 些 位 置 上 原本 的 数字 已 经 左 移 了 ,最 后 右边 空余 的 二 进 制 位 则 由 0 来 填充 。 
类 似 地 ， 如 果 CLINT 对 象 除 以 2 的 笑 ， 可 以 采取 右 移 每 一 位 直至 形成 新 的 最 低 有 效 位 
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的 方式 。 右 移 之 后 剩余 的 空位 要 么 由 0 填充 要 么 作为 前 导 零 被 忽略 ， 此 外 ， 每 右 移 一 位 基 
低 有 效 位 就 会 丢失 一 次 。 

上 述 方法 的 优势 很 明显 ， 它 使 CLINT 对 象 与 2 的 瞪 的 乘法 和 除法 变 得 人 简单， 整个 过 程 
只 需 进 行 最 多 e『 1logsa 1 次 移 位 操作 ， 每 次 操作 将 一 个 USHORT 值 移动 一 个 二 进 制 位 。 此 
外 ， 只 需 进 行 [ logsa 1 次 USHORT 值 的 存储 操作 。 

接 下 来 ， 我 们 将 介绍 3 个 函数 。 函 数 shli 1() 为 CLINT 类 型 的 数 提供 了 一 种 快捷 的 与 
2 相 乘 的 方法 ， 而 函数 shr_1() 则 用 于 除 以 2 并 返回 整数 商 的 情况 。 

ida. KZ shift 1() 能 对 CLINT 类 型 的 数 a 进行 乘 以 或 者 除 以 2 WE 2° 的 操作 。 
至 于 选择 哪 一 个 操作 则 是 由 参数 2° 的 指数 e 的 符号 来 决定 。 如 果 符 号 为 正 ， 则 选择 乘法 ， 
如 果 为 负 ， 则 选择 除法 。 假 设 e 的 表示 形式 为 e 二 Bk 十 !:，l 二 B， 那么 shift 1() 函 数 将 进 
行 (! 十 1) 「logsa 1 次 针对 USHORT 值 的 移 位 操作 来 实现 乘法 或 除法 。 

这 3 个 图 数 以 (Na 十 1) 为 模 对 CLINT 对 象 进行 运算 。 当 它们 应 用 于 累加 也 数 时 ， 能 
用 运算 结果 对 CLINT 操作 数 进 行 重 写 。 接 着 我 们 测试 这 些 函 数 分 别 出 现 上 洲 和 下 洲 的 情 
形 。 然 而 ， 下 淤 并 不 会 真正 出 现在 移 位 运算 中 ， 因 为 当 需 要 移动 的 位 数 超 过 总 的 位 数 时 会 
简单 地 将 0 作为 结果 ， 就 像 现实 中 一 样 。 而 下 洲 状 态 值 E CLINT UFL 仅仅 表明 没有 足够 
多 的 位 数 可 以 移动 ， 换 句 话 说 ， 除 数 即 2 的 究 ， 比 被 除数 要 大 ， 因 此 商 为 0。 这 3 个 函数 
的 实现 方式 如 下 所 示 。 


: 左 移 ( 乘 以 2) 
: intshl 1 (CLINT a 1); 
: a 1 被 乘 数 ) 


: a (RA) 
: E CLINT OK， 如 果 成 功 
E CLINT OF, t R bit 





int 
shl 1 (CLINT a 1) 

{ 

clint *ap 1, *msdptra 1; 
ULONG carry = OL; 

int error = E CLINT OK; 


RMLDZRS L (a 1); 
if (ld 1 (a 1) >= (USHORT)CLINTMAXBIT) 
{ 
SETDIGITS L (al, CLINTMAXDIGIT); 
error = E CLINT OFL; 
} 
msdptra 1 = MSDPTR_L (a 1); 
for (ap 1 = LSDPTR_L (a 1); ap 1 <= msdptra 1; ap 1++) 


{ 
*ap_l = (USHORT)(carry = ((ULONG)*ap 1 << 1) | (carry >> BITPERDGT)); 
} 
if (carry >> BITPERDGT) 
{ 


if (DIGITS L (a 1) < CLINTMAXDIGIT) 
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{ 
Yap Joa i; 
SETDIGITS L (a 1, DIGITS L (a1) + 1); 
error = E CLINT OK; 
} 
else 
{ 
error = E CLINT OFL; 
} 
} 
RMLDZRS L (a 1); 
return error; 


} 


: 右 移 (整除 2) 
* 1ntshr 1 (CLINT a_l); 
: a 1( 被 除数 ) 


: a 1( 商 ) 
: E CLINT OK, w RAH 
E CLINT UFL, wR F 





int 
shr 1 (CLINT a 1) 
{ 
clint *ap 1; 
USHORT help, carry = 0; 
if (EQZ L (a 1)) 
return E CLINT UFL; 
for (ap 1 = MSDPTR_L (a_1); ap 1 > a_l; ap 1--) 


{ 
help = (USHORT)((USHORT)(*ap 1 >> 1) | (USHORT)(carry << 
(BITPERDGT - 1))); 
carry = (USHORT)(*ap 1 & 1U); 
*ap 1 = help; 
f 
RMLDZRS L (a_1); 
return E CLINT OK; 


de. | Aa FB RR VA / PR VA 2 8 AR) 
: intshr 1 (CLINT n l; long intnoofbits) ; 
: n 1( 操 作 数 ) 

noofbits(2 & # #4 48 4) 


: n 1( 乘 积 或 商 ， 取 决 于 noofbits 的 符号 ) 
: E CLINT OK， 如 果 成 功 

E CLINT UFL, wÅ F 

E CLINT OFL, +R EG 
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int 
shift 1 (CLINT n 1, long int noofbits) 


{ 
USHORT shorts = (USHORT)((ULONG)(noofbits < 0 ? -noofbits : noofbits) / BITPERDGT); 


USHORT bits = (USHORT)((ULONG)(noofbits < 0 ? -noofbits : noofbits) % BITPERDGT); 
long int resl; 
USHORT i; 
int error = E_CLINT OK; 
clint *nptr_1; 
clint *msdptrn_ 1; 
RMLDZRS L (n_1); 
resl = (int) ld 1 (n 1) + noofbits; 
如 果 n 1 ==0， 我 们 仅仅 需要 正确 设置 错误 代码 ， 然 后 就 结束 。 当 noofbits==0 时 也 
同样 适用 。 
if ("n 1 == 0) 
{ 
return ((resl < 0) ? E CLINT UFL : E CLINT OK); 
} 
if (noofbits == 0) 
{ 
return E CLINT OK; 
} 
接 下 来 检查 是 否 有 上 溢 或 者 下 溢 的 情况 需要 告知 。 然 后 再 根据 noofbits 的 符号 进入 
不 同 的 分 支 进行 左 移 或 者 右 移 操作 。 
if ((resl < 0) || (resl > (long) CLINTMAXBIT)) 


{ 
error = ((resl < 0) ? E CLINT UFL : E CLINT OFL); /*underflow or overflow*/ 


} 
msdptrn 1 = MSDPTR_L (n_1); 
if (noofbits < 0) 
{ 
如 果 noofbits<0, AA n 1 将 除 以 2°, n ] 所 移 位 数 的 上 限 是 DIGITS L(n 1). 
首先 移动 所 有 的 数字 ， 然 后 剩 下 的 位 使 用 shr 1() 进 行 移 位 。 
shorts = MIN (DIGITS L (n 1), shorts); 
msdptrn 1 = MSDPTR L (n 1) - shorts; 
for (nptr 1 = LSDPTR_L (n 1); nptr 1 <= msdptrn 1; nptr_1++) 
{ 
*nptr_l = *(nptr_l + shorts); 
} 
SETDIGITS L (n 1, DIGITS L (n 1) - (USHORT)shorts); 
for (i = 0; i < bits; i++) 
{ 
shr 1 Em. 1)s 


else 
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如 果 noofbits>0, PA n LRU 2°S 。 如 果 所 需 移动 的 位 数 比 MAX, 大 ， 那 么 
结果 将 返回 0。 如 果 不 是 ， 那 么 首先 确定 并 储存 新 结果 的 位 数 ， 然 后 对 全 部 位 进行 左 移 ， 
并 将 剩余 的 空位 置 0。 为 了 如 免 上 溢 情 况 的 出 现 ， 起 始 位 置 限定 为 n_ 1 十 MAXs， 且 存储 
在 变量 nptr 1 中 。 和 之 前 一 样 ， 最 后 的 位 使 用 兄 数 shl 1() 单 独 进行 移 位 运算 。 

if (shorts < CLINTMAXDIGIT) 
{ 
SETDIGITS L (n 1, MIN (DIGITS L (n 1) + shorts, CLINTMAXDIGIT)); 
nptr 1] = n_1 + DIGITS L (n 1); 
msdptrn 1 = n 1 + shorts; 
while (nptr 1 > msdptrn 1) 
{ 
*nptr_1 = *(nptr 1 - shorts); 
--nptr_1; 
} 
while (nptr_1 > n 1) 
{ 
*nptr_l-- = 0; 
} 
RMLDZRS_L (n_1); 
for (i = 0; i < bits; i++) 
{ 
shl 1 (n_1); 
} 
} 


else 


SETZERO L (n 1); 
} 
} 


return error; 


} 


7.2 有 或 无 : 位 关系 


FLINT/C 库 文件 包含 允许 对 CLINT 对 象 使 用 内 置 按 位 (操作 符 & | 和 “进行 操作 的 
函数 。 然 而 ， 在 编写 这 些 函 数 之 前 我 们 需要 明白 它们 的 实现 将 带 给 我 们 什么 。 

从 数学 的 视角 出 发 ， 我 们 看 一 看 广义 上 布尔 图 数 的 关系 式 : (0，1 六 一 (0，1)， 它 将 
OHA (a, s re IE{O, 1}* 映射 为 0 或 者 1。 一 个 布尔 函数 的 作用 常常 以 表格 的 形式 呈 
H, WK 7-1 Pra. 
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对 于 CLINT 类 型 之 间 的 位 关系 ,我 们 首先 把 变量 用 位 向 量 (x,，*…，xz, ) 来 表示 ， 这 样 

布尔 函数 的 函数 值 将 形成 一 个 序列 。 因 此 我 们 有 以 下 的 函数 
Falh" X 40,1)" > 10,1 7 
该 函数 使 用 
Ff CL 六 = Chy (Tr 9 Xo) sr fo (Xi Ta) fT vs)) 

将 nn 位 变量 去 Slas 22, os 吉 ) 和 工 ; :二 (Xf ， 有 如，…， 式 ) 上 映射 为 男 一 个 nn 位 变量 (x ，…， 
Zz,)， 该 变量 可 被 解释 为 一 个 CLINT RMR. EP. fi Gi, T) :二 f(z， 27). 

对 函数 了 起 决定 性 作用 的 是 局 部 函数 f;， 它 们 都 是 依据 布尔 函数 定义 的 。cCLINT 函数 
and 1()、or 1() 以 及 xor_1() 中 布尔 函数 的 定义 如 表 7-2 一 表 7-4 所 示 。 


表 7-2 CLINT 函数 and 1() 的 值 


0 0 0 
0 ] l 
1 0 ] 
l ] ] 


0 
0 
] 
] 


E CHAAM and 1(), or 1() 和 xor_1() 中 ,布尔 函数 的 实现 并 非 按 位 进行 ， 但 它 
们 都 是 以 标准 的 C 操作 符 O, | 和 * 来 操作 CLINT 变量 的 每 一 位 。 这 些 函 数 以 3 个 
CLINT 类 型 的 数 作 为 参数 ， 其 中 前 两 个 为 操作 数 ， 最 后 一 个 为 结果 变量 。 


: 实现 按 位 与 操作 
: void and 1 (CLINT a 1, CLINT b l; CLIINTc 1); 


: al, b 1]1( 待 操作 的 参数 ) 
: c 1 (与 操作 的 结果 ) 





void 
and 1 (CLINT a 1, CLINT b 1, CLINT c 1) 
{ 

CLINT d 1; 

clint "e l; Tol; Eol 

clint *lastptr_1; 
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首先 设置 指针 r+ 工 和 s 1 分 别 指向 两 个 参数 的 某 一 位 。 如 果 两 个 参数 位 数 不 同 ， 则 
s 1 指向 位 数 较 短 的 那 一 个 。 指 针 msdptra 1 指向 a 1 的 最 后 一 位 。 
if (DIGITS L (a 1) < DIGITS L (b 1)) 


{ 
r l = LSDPTR L (b 1); 


s l = LSDPTR L (a 1); 
lastptr 1 = MSDPTR L (a 1); 
} 
else 
r l = LSDPTR L (a 1); 


s 1 = LSDPTR_L (b 1); 
lastptr 1 = MSDPTR_L (b 1); 
} 
现在 设置 一 个 指针 七 1 指向 结果 的 第 一 位 ， 并 且 将 结果 的 最 大 长 度 存 储 在 d 1[0] 中 。 
t l = LSDPTR L (d 1); 
SETDIGITS L (d 1, DIGITS L (s_1 = 1)); 
真正 的 操作 发 生 在 下 面 对 较 短 参 数 的 数字 进行 循环 处 理 的 过 程 中 。 最 终结 果 的 位 数 不 
可 能 比较 短 参 数 的 位 数 大 。 
while (5 1 <= lastptr 1) 
{ 
*t l+ = *r ]++ & *s 1]++; 
} 
将 结果 复制 给 c 1， 复制 过 程 中 所 有 的 前 导 零 将 被 删除 ， 然 后 函数 结束 。 
coy (CC 1 dT); 
} 


语法 : voidor 1 (CLINT a 1, CLINT b 1, CLINT c 1); 


MA: al, b 1( 待 操作 的 参数 ) 
输出 : c 1( 或 操作 的 结果 ) 





void 
or 1 (CLINT al, CLINT b_l, CLINT € 1) 
{ 
CLINT d 1l; 
clint r l; Sle l 
clint *msdptrr 1; 
clint *msdptrs 1; 
Hiri s l#ELRE. 
if (DIGITS L (a 1) < DIGITS L (b 1)) 
{ 
r 1 = LSDPTR L (b 1); 
s 1 = LSDPTR L (a1); 
msdptrr 1 = MSDPTR L (b 1); 
msdptrs 1 = MSDPTR_L (a 1); 
} 


else 
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{ 
1 LSOPTR L (a2); 
s 1 = LSDPTR L (b 1); 
msdptrr_1 = MSDPTR_L (a 1); 
msdptrs 1 = MSDPTR L (b 1); 
} 
t 1 = LSDPTR L (d 1); 
SETDIGITS L (d 1, DIGITS L {r 1 = 1)); 
真正 的 操作 发 生 在 对 较 短 参数 的 数字 进行 循环 处 理 的 过 程 中 。 
while (s 1 <= msdptrs 1) 
{ 
*t ]++ = *r l++ | *s_l++; 
} 
将 较 长 参数 剩 下 的 数字 直接 放 入 结果 中 。 接 下 来 ， 将 结果 复制 给 c 1, 复制 过 程 中 所 
有 的 前 导 零 将 被 删除 ， 然 后 函数 结束 。 
while (r 1 <= msdptrr 1) 


{ 
*t l++ = *r l+; 
} 

coy 1 i 1... die 


} 


实现 按 位 异 或 (XOR) 操 作 
: void xor 1 (CLINT a 1, CLINT b 1, CLINT c 1); 


al. b 1( 待 操作 的 参数 ) 
c_1( 措 或 操作 的 结果 ) 





void 
xor 1 (CLINT al, CLINT b L; CLINT c 1) 
{ 
CLINT d ]; 
clink “x Ty “Sly “E35 
clint *msdptrr_ 1; 
clint *msdptrs 1; 
if (DIGITS L (a 1) < DIGITS L (b 1)) 
{ 
r 1 = LSDPTR_L (b 1}; 
s 1 = LSDPTR L (a 1); 
msdptrr 1 = MSDPTR_L (b 1); 
msdptrs 1 = MSDPTR L (a 1); 
} 


else 


r 1 = LSDPTR L {a 1); 

s 1 = LSDPIR £ (b 1); 
msdptrr 1 = MSDPTR L (a 1); 
msdptrs 1 = MSDPTR L (b 1); 
} 
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t 1 = LSDPTR L (d 1); 
SETDIGITS L (d 1, DIGITS L (r_1 - 1)); 
现在 开始 进行 真正 的 操作 ， 即 不 断 地 对 较 短 参数 的 数字 进行 循环 处 理 。 
while (s 1 <= msdptrs 1) 
{ 
tt lat = t*r le ~ *s ls; 
} 
同上 ， 另 一 参数 剩 下 的 数字 将 被 复制 。 
while (r 1 <= msdptrr 1) 


{ 
*t_l++ = *r_lt+; 
} 

copy 1 éc 1, dl); 


} 

可 以 使 用 函数 and _ 1 () 对 数 进行 模 2 的 约 简 ， 只 需 将 CLINT 变量 a 1 设置 为 a， 
CLINT 变量 b 1 设置 为 2 一 1， 并 执行 anda 1(a 1, b 1, c 1)。 然 而 ， 同 样 为 此 目的 而 开 
发 的 函数 mod2 1 () 执 行 得 更 快 ， 它 考虑 到 了 一 点 ， 即 2* 一 1 的 二 进 制 表示 形式 仅 由 1 构成 
(UL 4.3 47). 


7.3 对 单个 二 进 制 数字 的 直接 访问 


有 时 候 ， 为 了 读 取 或 改变 一 个 数 的 单个 的 二 进 制 数 字 ， 我 们 需要 有 能 力 对 它们 进行 访 
问 。 举 例 来 说 ,“ 将 一 个 CLINT 对 象 初始 化 为 2 的 车” 这 一 问题 只 需 设置 一 位 就 可 解决 。 

下 面 我 们 将 开发 3 PPR. setbit 1、()testbit 1() 以 及 clearbit 1()， 这 3 个 
函数 分 别 用 来 设置 、 测 试 、 删 除 某 一 人 位。 函数 setbit 1() 和 clearbit 1 (0) 返 回 操作 前 指 
定位 的 状态 。 位 的 位 置 从 0 开始 计算 ， 因 此 指定 位 置 可 理解 成 2 的 窒 的 对 数 : 如 果 n 1 等 
于 0， 则 函数 setbit 1(n 1, 038E 0, HE n 1 AA 2°=1; 在 调用 setbit 1(n 1, 
512) 后 ，n 1 值 变 为 2”，。 


: 测试 并 设置 CLINT 对 象 的 某 一 位 
: int setbit 1 (CLINT a_l, unsigned int pos); 
: a_1l(CLINT 参数 ) 

pos( 位 的 位 置 ， 从 0 计算 ) 


: a 1( 结 果 ) 

: 1， 如 果 位 置 pos 上 的 位 已 设置 
0， 如 果 位 置 pos 上 的 位 未 设置 
E CLINT OFL， 如 果 溢 出 





int 

setbit 1 (CLINT a_l, unsigned int pos) 

{ 

int res = 0; 

unsigned int i; 

USHORT shorts = (USHORT)(pos >> LDBITPERDGT); 
USHORT bitpos = (USHORT)(pos & (BITPERDGT - 1)); 
USHORT m = 1U << bitpos; 
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if (pos >= CLINTMAXBIT) 


{ 
return E CLINT OFL; 


} 

if (shorts >= DIGITS L (a 1)) 

{ 

如 果 有 必要 ， 用 0 对 a 1 进行 逐 字 填充 ， 并 将 新 的 长 度 存 储 在 a 1[0] 中 。 


for (i = DIGITS L (a 1) + 1; i <= shorts + 1; i++) 


{ 
a l[i] = 0; 
} 
SETDIGITS L (a 1, shorts + 1); 
} 


以 m 作为 掩 码 测试 a 1 中 包含 指定 位 的 数位 ， 随 后 通过 与 mvt OR( 或 ) 运 算 将 指定 
位 上 的 值 设 置 为 1。 函数 返回 该 位 置 原先 的 状态 值 ， 结 束 。 
if (a l[shorts + 1] & m) 
{ 
res = 1; 
} 
a_l[shorts + 1] |= m; 
return res; 


} 


: 测试 CLINT 对 象 的 某 一 二 进 制 数字 
: int testbit_1 (CLINT a l, unsigned int pos); 
: a 1(CLINT 参数 ) 


pos( 位 的 位 置 ， 从 0 计算 ) 
: 1， 如 果 位 置 pos 上 的 位 已 设置 





0, ÆN] 
int 
testbit 1 (CLINT a_l, unsigned int pos) 
{ 


int res = 0; 

USHORT shorts = (USHORT)(pos >> LDBITPERDGT); 
USHORT bitpos = (USHORT)(pos & (BITPERDGT - 1)); 
if (shorts < DIGITS L (a 1)) 


{ 
if (a l[shorts + 1] & (USHORT)(1U << bitpos)) 


res = 1; 


} 


return res; 


} 


THRE: 测试 并 删除 CLINT 对 象 的 某 一 位 


Wik: int clearbit 1 (CLINT a l, unsigned int pos); 
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输入 : a 1(CLINT 参数 ) 
pos( 位 的 位 置 ， 从 0 计算) 


输出 : a 1( 结 果 ) 
返回 : 1， 如 果 删 除 前 位 置 pos 上 的 位 已 设置 





0, SR 
int 
clearbit_1 (CLINT a 1, unsigned int pos) 
{ 


int res = 0; 

USHORT shorts = (USHORT)(pos >> LDBITPERDGT) ; 
USHORT bitpos = (USHORT)(pos & (BITPERDGT - 1)); 
USHORT m = 1U << bitpos; 


if (shorts < DIGITS L (a 1)) 
{ 
如 果 a 1 有 足够 多 的 数字 ， 那 么 以 m 作为 掩 码 测 试 a 1 中 包含 指定 位 的 数位 ， 随 后 通 
过 与 m 的 补 码 进 行 AND( 与 ) 运 算 将 指定 位 上 的 值 设 置 为 0。 函数 返回 该 位 置 原先 的 状态 


值 ， 结 束 。 
if (a l[shorts + 1] & m) 
{ 
res = 1; 
} 


a l[shorts + 1] &= (USHORT)(~m); 
RMLDZRS_L (a 1); 
} 


return res; 


} 


7.4 比较 运算 符 


每 一 个 程序 都 需要 有 能 力 去 判断 算术 变量 是 否 相 等 或 者 度量 其 大 小 关系 ， 同 样 ， 对 于 
CLINT 对 象 的 处 理 也 有 该 要 求 。 这 里 ， 依 然 遵 守 “ 编 程 人 员 不 需要 了 解 CLINT 类 型 内 部 结 
构 ” 这 一 原则 ， 而 对 两 个 CLINT 对 象 相关 性 的 判断 取决 于 专门 为 此 目的 而 设计 的 函数 。 

完成 这 些 工 作 的 主要 函数 是 cmp_1()。 它 决定 了 两 个 CLINT 值 a 1 和 hb 1 属于 
a l<bl、al==b 1 与 al>b 1 中 的 哪 种 关系 。 为 此 ， 首 先 比较 CLINT 对 象 的 位 数 
(不 考虑 前 导 零 的 个 数 ) ， 如 果 位 数 相等 ， 那 么 从 比较 最 高 有 效 位 开始 ， 一 旦 检测 出 不 同 ， 
则 比较 终止 。 


: 比较 两 个 CLINT 对 象 
2 int cmp L (CLINT a Ly CLINT b 1); 
: a l, b 1( 参 数 ) 


: 一 1]， 如 果 (a 1 的 值 ) 二 (b 1 的 值 ) 
0, wACa 1 的 值 ) 一 ( b 1 的 值 ) 
l, WR Ca 1 的 值 ) 二 (b 1 的 值 ) 
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int 
cmp 1 (CLINT a 1, CLINT b 1) 
{ 
clint *msdptra_l, *msdptrb_ 1; 
int la = DIGITS L (a 1); 
int lb = DIGITS L (b 1); 
首先 检查 两 个 参数 的 长 度 是 否 都 为 0， 也 就 是 说 ， 值 是 否 都 为 0。 然 后 去 除 所 有 的 前 
叶 零 ， 并 依据 位 数 做 出 决策 。 
if (la == 0 && lb == 0) 
{ 


return 0; 
} 
while (a l[la] == 0 && la > 0) 
{ 
--la; 
} 
while (b 1[1b] == 0 && lb > 0) 
{ 
--lb; 
} 
if (la == 0 && Ilb == 0) 
{ 


return 0; 


} 
if (la > 1b) 


{ 


return 1; 
} 
if (la < 1b) 
{ 


return -1; 
} 
如 果 操 作 数 的 位 数 相同 ， 那 么 将 比较 其 实际 值 。 为 此 ， 我 们 从 比较 最 高 有 效 位 开始 ， 
并 一 位 一 位 地 进行 ， 直 到 出 现 两 数值 不 相等 或 者 到 达 最 低 有 效 位 。 
msdptra 1 =a + la; 
msdptrb 1 = b 1 + 1b; 
while ((*msdptra_l == *msdptrb_1) && (msdptra 1 > a 1)) 
{ 
msdptra l--; 
msdptrb l--; 
} 
现在 我 们 比较 两 数值 ， 做 出 决策 并 返回 相应 的 函数 值 。 
if (msdptra_1 == a 1) 
{ 


return 0; 


} 
if (*msdptra_1 > *msdptrb 1) 
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{ 


return 1; 


else 


{ 


return -1; 


} 


} 
如 果 我 们 只 对 两 CLINT 值 是 否 相 等 感 兴 趣 ， 那 么 函数 cmp 1 () 的 应 用 就 显得 大 材 小 用 
了 。 这 种 情况 下 ， 我 们 可 以 采用 一 种 更 简单 的 函数 变 体 ， 该 变 体 可 避免 大 小 比较 。 


: 比较 两 个 CLINT 对 象 
: int equ l (CLINT a 1, CLINT Ð 1); 


: al. b 1( 参 数 ) 
: 0， 如 果 (a 1 工 的 值 ) 和 关 (b 1 的 值 ) 
l, WR (a 1 的 值 ) 二 (b 1 的 值 ) 





int 
equ 1 (CLINT a_l, CLINT b 1) 
{ 
clint *msdptra 1, *msdptrb 1; 
int la = DIGITS L (a 1); 
int lb = DIGITS L (b 1}; 
if (la == 0 && lb == 0) 


{ 
return 1; 
} 
while (a l[la] == 0 && la > 0) 
{ 
--la; 
} 
while (b 1[1b] == 0 && lb > 0) 
{ 
--lb; 
} 
if (lá == 0 && 1b == 0) 
{ 
return 1; 
} 
if (la l= 1b) 
{ 
return 0; 
} 


msdptra_ 1 = a + la; 
msdptrb 1 = b 1 + 1b; 
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while ((*msdptra 1 == *msdptrb 1) && (msdptra 1 > a 1)) 
{ 
msdptra 1--; 
msdptrb 1--; 
} 


return (msdptra 1 >a 1? 0 : 1); 


} 

这 两 个 图 数 的 原始 形式 很 容易 导致 用 户 出 现 大 量 的 错误 。 尤 其 是 ， 函 数 cmp_ 1 () 返 回 
值 的 意义 必须 时 刻 铭记 在 心 或 者 不 断 查 阅 。 为 了 避免 产生 错误 ， 创建 了 大 量 的 宏 ， 这 些 宏 
以 一 种 更 便于 记忆 的 令 人 满意 的 方式 表述 大 小 关系 ( 见 附录 C)。 例 如 ， 我 们 有 如 下 的 宏 ， 
它们 可 以 比较 a 1 Alb 1 所 表示 的 值 : 

GEL(al, b 1) 如 果 a 1 之 b 1 则 返回 1， 否 则 返回 0 

EQZ L(a 1) wR a 1 ==0 则 返回 1， 如 果 a 1>0 则 返回 0 
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现在 这 些 数 已 经 开始 自动 地 由 二 进 制 著 换 到 和 十进制 ……: 881, 883, 887, 
907 +++ + ARREO- AER, 
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FR MT LCA WR EL PR RO 7 ie fa AA tie E E ROR ASE. OW SORE CLINT 对 象 b_ 1 的 值 
赋 给 另 一 个 CLINT 对 象 a 1， 我 们 需要 一 个 函数 能 将 bp 1 的 数字 复制 到 a 1 的 存储 空间 ， 
这 一 事件 称 为 元 素 赋值 。 仅 仅 将 对 象 b 1 的 地 址 复制 给 变量 a 1 是 不 够 的 ， 因 为 这 两 个 对 
象 都 指向 同一 内 存 区 域 ， 即 b 1 的 位 置 ， 且 对 a 1 的 任何 改变 都 将 反映 到 bb 1 上 ， 导 致 
b 1 的 改变 ， 反 之 亦 然 。 此 外 ， 对 a 1 所 指 内 存 区 域 的 访问 权 可 能 丢失 。 

当 我 们 在 本 书 第 二 部 分 中 考虑 用 C++ 实现 赋值 运算 符 “ 王 ”( 人 参见 14. 3 节 ) 时 ， 我 们 
还 会 回 到 元 素 赋 值 这 个 问题 上 。 

将 一 个 CLINT 对 象 的 值 赋 给 男 一 个 CLINT 对 象 ， 可 由 函数 cpy 1 () 来 实现 。 


: 复制 一 个 CLINT 对 象 ， 作 为 赋值 
; void cpy 1(CLINT dest ls CLINT src _ 1); 


: src 1( 被 赋予 的 值 ) 
: dest 1( 目 标 对 象 ) 





void 
cpy_l (CLINT dest 1, CLINT src 1) 
{ 
clint *lastsrc_1 = MSDPTR L (src 1); 
‘dest 1 = *sre. 1; 
下 一 步 ， 发 现 前 导 零 并 忽略 。 同 时 ， 调 整 目 标 对 象 的 位 数 。 
while ((*lastsrc 1 == 0) && (*dest 1 > 0)) 
{ 
--lastsrc_ 1; 
--*dest_ 1; 
} 
现在 ， 将 源 对 象 的 相关 数字 复制 给 目标 对 象 ， 然 后 函数 结束 。 
while (src 1 < lastsrc_1) 


{ 
*+4+dest_] = *++src_1; 


} 


} 

在 宏 SWAP 工 的 协助 下 ， 可 以 实现 两 个 CLINT 对 象 值 的 互 换 。 宏 swap LÆ FLINT/C 中 
宏 SWAP 的 变 体 ， 它 能 以 一 种 有 趣 的 方式 使 用 XOR 操作 实现 两 个 变量 值 的 互 换 ， 而 不 需 
要 临时 变量 的 中 间 存 储 空 间 。 
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#define SWAP(a, b) ((a) =(b), (b) =(a), (a) =(b)) 
#define SWAP L(a 1, b 1) \ 

(xor Ta D th 1); (aT) \ 

xor 1((b 1), (a1), (b1)), \ 

wor L(a Lye (b1), (a1))) 


功能 : 交换 两 个 CLINT 对 象 的 值 
语法 : void fswap 1 (CLINT a 1, CLINT b 1); 


输入 : al. b 1( 待 交换 的 值 ) 
输出 : ail, D l 





FLINT/C 库 中 以 人 类 易 读 形式 出 现 的 用 于 输入 /输出 数值 的 函数 并 不 是 最 令 人 兴奋 
的 ， 但 是 对 于 许多 应 用 程序 来 说 它们 是 不 可 避免 的 。 为 了 实用 ， 人 允许 通过 字符 串 ， 即 
char 类 型 数组 进行 输入 与 输出 。 因 此 ， 开 发 出 了 本 质 上 互补 的 图 数 str2clint_1() 和 
xclint2str 1(): 前 者 将 一 个 数字 字符 串 转换 成 CLINT 对 象 ， 相反， 后 者 将 一 个 CLINT 
对 象 转换 成 一 个 字符 串 。 字 符 串 表示 的 基数 为 2 一 16。 

PRA str2clint 1() 以 一 系列 基于 基数 B 的 乘法 和 加 法 实现 了 CLINT 类 型 到 指定 基 
数 类 型 的 转换 (参见 LKnut] 4.4 节 )。 该 函数 记录 任何 发 生 的 上 洲 、 无 效 基 的 使 用 、 空 指 
针 的 传递 ， 并 返回 相应 的 错误 代码 。 任 何 说 明 数 的 类 型 的 前 缀 (如 “0X”、“0x”、“0B” 或 
“0b”) 都 被 忽略 。 


能 : 将 一 个 字符 串 转 化 为 一 个 CLINT 对 象 
: int strZelint 1 (CLINT n 1, char *str, USHORT D) ; 
: str(48 char 序列 的 指针 )base( 字 符 串 的 数字 表示 的 基数 ，2 委 base 委 16) 
: n 1( 目 标 CLINT 对 象 ) 


: E CLINT OK， 如 果 成 功 
E CLINT BOR， 如 果 base < 2 或 者 base > 16 或 者 stz 的 位 数 大 于 base 
E CLINT OFL， 如 果 洪 出 
E CLINT NPT， 如 果 str 作为 一 个 空 指针 被 传递 





int 
str2clint_1 (CLINT n 1, char *str, USHORT base) 
{ 

USHORT n; 

int error = E CLINT OK; 

if (str == NULL) 


{ 
return E CLINT NPT; 
} 
if (2 > base || base > 16) 
{ 
return E_CLINT BOR; /* error: invalid base */ 
} 


SETZERO L (n 1); 


if (str = 767) 
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{ 
if ((tolower 1(*(str+1)) == ‘x’) || 
(tolower 1(*(str+1)) == ‘b’)) /* ignore any prefix */ 
{ 
++Str; 
++Str; 
} 

} 

while (isxdigit ((int)*str) || isspace ((int)*str)) 

{ 

if (!isspace ((int)*str)) 
{ 
n = (USHORT)tolower 1 (*str); 

在 字符 不 是 大 写 的 情况 下 ， 许 多 非 ANSI 标准 实现 的 C 函数 库 中 的 函数 tolower () 会 返 
回 不 确定 的 结果 。FLINT/C 函数 tolower 1() 仅 仅 对 大 写 A~Z FWA A tolower(), & M4 
返回 未 改变 的 字符 。 

switch (n) 
{ 
case ‘a’: 
case ‘b’: 
case ‘Cc’: 
case ‘d’: 
case ‘e’: 
case ‘f’: 
n -= (USHORT)(‘a’ -- 10); 
break; 
default: 
n -= (USHORT) ‘0’; 
} 
if (n >= base) 
{ 
error = E CLINT BOR; 
break; 


} 
if ((error = umul 1 (n 1, base, n 1)) != E CLINT OK) 
{ 


break; 
} 
if ((error 


{ 


break; 
} 
} 


++Str; 
} 


return error; 


} 
K xclint2str 1() 与 str2clint 1() 互 补 ， 它 返回 一 个 指向 static( 静 态 ) 存 储 类 


uadd 1 (n 1, n, n 1)) != E CLINT OK) 
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的 内 部 缓冲 区 的 指针 (参见 [Harb] 4. 3 节 )， 该 缓冲 区 包含 计算 出 的 数值 表示 及 其 值 ， 直 
到 xclint2str 1() 被 再 次 调用 或 程序 结束 。 

K% xclint2str 1() 通 过 一 连 串 的 B 进 制 带 余 除法 实现 CLINT 类 型 到 指定 基数 表示 
的 转换 。 


: 将 CLINT 对 象 转化 为 字符 串 

char * xclint2str 1 (CLINT n 1, USHORT base, int showbase) ; 
: n 1( 将 要 被 转化 的 CLINT 对 象 ) 

base( 指 定 的 字符 串 数 值 表示 的 基数 ) 


showbase( 值 不 为 0: # base 王 16， 则 数值 表示 带 有 一 个 “0x?” 做 前 缓 ; 
若 base 二 2， 则 带 有 一 个 “0b” 做 前 级 。 值 为 0: 不 带 任 何 
A HR.) 
WE: 指向 计算 出 的 字符 串 的 指针 ， 如 果 成 功 
NULL， 如 果 base < 2 或 者 base > 16 





static char ntable[16] = 
Pe PE ca Se Se ee 
char * 
xclint2str_1 (CLINT n 1, USHORT base, int showbase) 
{ 
CLINTD ul, rl; 
int i = 0; 
static char N[CLINTMAXBIT + 3]; 
if (2U > base || base > 16U) 
{ 
return (char *)NULL; /* error: invalid base */ 
} 
cpy: 1 (u 1, a+); 
do 
{ 
(void) udiv 1 (u 1, base, ul, r 1); 
if (EQZ L (r 1)) 


{ 
N[i++] = £0’; 
} 
else 
{ 
N[i++] = (char) ntable[*LSDPTR L (r 1) & Oxff]; 
} 


} 
while (GTZ L (u 1)); 


if (showbase) 


{ 


switch (base) 
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{ 


case 2: 
N[it+] = ‘b’; 
N[it+] = £0’; 
break; 
case 8: 
N[ i++] = £0’; 
break; 
case 16: 
N[it+] = ‘x’; 
N[i++] = £0’; 
break; 
} 
} 
N[i] = £0’; 


return strrev 1 (N); 


} 

为 了 与 本 书 第 1 版 中 的 函数 clint2str 1() 相 兼容 ,将 clint2str 1 (n 1, base) 
RAR. EAA RRA xclint2str(n 1, base, 0). 

lth, We TH HEXSTR L(). DECSTR _L(), OCTSTR_L()#l BINSTR L(), RHE 
根据 作为 参数 传递 的 CLINT 对 象 ， 创 建 一 个 带 有 由 宏 名 指定 的 数值 表示 (但 不 带 前 缀 ) 的 字 
符 串 ， 这 将 使 基 不 用 作为 参数 出 现在 表示 中 (参见 附录 O. 

宏 DISP 工 () 作 为 CLINT 值 输出 的 标准 形式 ， 对 作为 参数 传递 的 字符 串 指针 和 CLINT 对 
象 进行 处 理 。 根 据 设 定 的 目标 ， 字 符 串 包含 待 输出 的 CLINT 值 的 信息 ， 如 “a 1 和 b 1 的 乘 
积 为 …… ”CLINT 值 的 输出 是 十 六 进 制 ， 也 就 是 说 ， 基 数 为 16。 另 外 ，DISP 工 () 在 一 个 新 
行 里 输出 指定 的 CLINT 对 象 的 有 效 二 进 制 数字 ( 即 没有 前 导 有 零 ) 的 个 数 ( 参 见 附 录 © 

如 果 需 要 在 字 节 数组 和 CLINT 对 象 之 间 进 行 转换 ， 那 么 可 以 利用 因数 对 byte2clint 1 () 
和 clint2byte 1() (参照 LIEEE |]5. 5.1 47). 

假设 字 节 数组 为 256 进 制 的 数值 表 式 ， 从 右 至 左 值 逐 渐 增 大 。 对 于 这 些 困 数 的 实现 ， 
读者 可 参考 文件 flint.c。 这 里 我 们 仅 给 出 对 函数 的 描述 。 


: 将 字 节 数组 转化 为 CLINT HH 
: int byte2clint 1 (CLINT n l; UCHAR *bytestr, int len); 
: bytestr( 指 向 UCHAR 序列 的 指针 ) 
len( 字 节 数 组 的 长 度 ) 
: n 1( 目 标 CLINT 对 象 ) 
: E CLINT OK， 如 果 成 功 


E CLINT OFL， 如 果 上 溢 
E CLINT NPT， 如 果 bytestr 为 空 指针 


: 将 CLINT 对 象 转化 为 字 节 数组 
UCHAR * clantzbyte 1 (CLINT n l; int *len); 
: n 1( 待 转化 的 CLINT * R) 
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输出 : len( 所 生成 的 字 节 数组 的 长 度 ) 


返回 : 指向 所 求 字 节 数 组 的 指针 
NULL(# Æ len 为 空 指针 ) 





最 后 ，unsigned( 无 符号 ) 值 到 CLINT 数值 格式 的 转换 可 以 使 用 函数 u2clint_1() 和 
ul2clint 1(). PAR u2clint 1() 和 ul2clint 1() 分 别 将 USHORT 参数 和 ULONG 参数 转 
化 为 CLINT 数值 格式 。 下 面 将 以 函数 ul2clint 11() 为 例 对 其 进行 描述 。 


: 将 一 个 ULONG 类 型 的 值 转化 为 CLINT 对 象 
: void ul2clint 1 (CLINT num 1, ULONG ul); 


: ul( 待 转化 的 值 ) 
: num 1( 目 标 CLINT 对 象 ) 





void 
ul2clint 1 (CLINT num 1, ULONG ul) 


{ 

*LSDPTR_L (num 1) = (USHORT)(ul & oxffff); 

*(LSDPTR_L (num 1) + 1) = (USHORT)((ul >> 16) & oxffff); 
SETDIGITS L (num 1, 2); 

RMLDZRS_L (num 1); 


} 

在 本 章 末 尾 ， 我 们 将 讨论 一 个 函数 ， 该 函数 用 于 实现 对 CLINT 数据 格式 的 内 存 对 象 进 
行 有 效 性 检查 。 当 “外 来 ” 值 为 了 在 子 系统 中 进一步 处 理 而 被 于 入 系统 时 ， 需 要 调用 这 种 
类 型 的 控制 函数 。 这 种 子 系统 可 以 是 加 密 模 块 ， 在 每 一 次 处 理 输入 数据 前 ， 必 须 检 查 它 处 
理 的 是 否 是 有 效 的 值 或 参数 。 检 查 运 行 时 了 芳 数 输入 值 是 否 满足 假设 是 一 个 很 好 的 编程 习 
惯 ， 有 助 于 避免 未 定义 的 情形 发 生 ， 因 此 对 应 用 程序 的 稳定 性 有 决定 性 的 作用 。 为 了 测试 
和 调试 ， 这 种 检查 常常 和 断言 一 起 出 现 ， 借助 它 可 以 检查 运行 时 的 状况 。 断 言 作为 宏 插 
入 ， 通 常 在 编译 时 通过 #define NDEBUG 可 使 断言 在 程序 真正 运行 时 停止 使 用 。 除 了 C 标 
准 库 的 assert 宏 以 外 (参见 LPlal | 第 1 章 )， 还 有 几 个 类 似 机 制 的 实现 ， 在 测试 条 件 不 符 
合 规则 时 ， 它 们 会 采取 各 种 行为 ， 如 将 可 识别 的 异常 情况 列 入 日 志文 件 ， 无 论 错 误 事 件 是 
否 会 导致 程序 终止 。 若 想得到 该 领域 的 更 多 信息 ， 读 者 可 参考 LMaguj] 第 2 章 和 第 3 章 ， 
以 及 LMurpj 第 4 Fr, 

在 被 调用 函数 中 或 者 调用 函数 中 ,保护 FLINT/C 软件 包 等 程序 库 中 的 函数 不 传人 超 
出 参数 定义 域 的 值 ， 而 调用 函数 的 责任 在 于 调用 该 库 的 程序 员 。 出 于 性 能 的 考虑 ， 在 
FLINT/C 函数 的 开发 中 ， 我 们 不 会 对 每 一 个 被 传人 的 CLINT 参数 进行 测试 来 检查 它 是 否 
是 一 个 有 效 的 地 址 或 者 是 否 有 可 能 溢出 。 一 个 乘 方 运算 包含 成 千 上 万 次 模 乘 ， 如 果 每 一 次 
模 乘 都 需要 对 数值 格式 进行 各 种 检查 ,那么 程序 设计 人 员 势 必 会 考虑 将 这 个 控制 任务 转交 
给 使 用 FLINT/C 函数 的 程序 。 而 将 0 传递 给 除数 是 一 个 例外 ， 因 为 这 作为 一 个 原则 问题 
会 加 以 检查 。 如 果 这 种 情况 发 生 了 ,会 出 现 一 个 合适 的 错误 提醒 ,甚至 在 所 有 剩余 类 算法 
中 也 是 如 此 。 所 有 函数 的 代码 都 经 过 特别 认真 的 测试 ， 以 确保 FLINT/C 库 产 生 有 效 的 格 
式 ( 参 见 第 12 FE). 

phi vcheck 1 () 是 专 为 分 析 CLINT 参数 格式 的 有 效 性 而 创建 的 。 它 有 助 于 保护 
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FLINT /C 函数 以 防 传递 无 效 的 参数 作为 CLINT 值 。 


: 测试 是 否 为 有 效 的 CLINT 数值 格式 
: ant veheck 1 (CLINT n_1); 


: n 1( 待 测试 的 对 象 ) 
: E_VCHECK OK， 如 果 格 式 正确 
错误 和 警告 ， 根据 表 8-1 





表 8-1 函数 vcheck 1() 的 判别 什 


返回 值 判别 说 明 


E VCHECK OK 信息 : 该 数 有 一 个 有 效 的 表示 和 一 个 在 CLINT 类 型 的 定义 域 中 的 值 
E_VCHECK_LDZ 告 : 该 数 有 前 导 零 ， 但 是 另 一 方面 ， 它 有 一 个 定义 域内 的 有 效 什 
E VCHECK MEM 内 存 错 误 错误 : 传递 了 空 指针 
E VCHECK OFL 错误 : 传人 的 值 太 大 ; 不 能 表示 为 一 个 CLINT WR 

int 

vcheck 1 (CLINT n 1) 

{ 


unsigned int error = E_VCHECK OK; 
检查 空 指针 : 最 令 人 生 厌 的 错误 。 
if (n 1 == NULL) 

{ 

error = E VCHECK MEM; 

} 


else 
{ 
检查 溢出 : 该 数 有 太 多 的 数字 吗 ? 
if (((unsigned int) DIGITS L (n_1)) > CLINTMAXDIGIT) 


{ 
error = E_VCHECK OFL; 


} 


else 
{ 
REMTE: HARMEET; -) 
if ((DIGITS L (n_1) > 0) && (n_1[DIGITS L (n 1)] == 0)) 
{ 
error = E VCHECK LDZ; 


} 
} 
} 


return error; 


} 
pki ROR HEX flint. 文件 中 定义 的 宏 。 表 8-1 提供 了 对 这 些 值 的 解释 。 


错误 代码 的 数字 值 比 0 小 ， 因 此 简单 地 与 0 进行 比较 就 可 以 区 分 是 错误 、 警 告 还 是 有 
效 情 况 。 
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到 目前 为 止 ， 除 了 自动 地 或 某 些 特殊 情况 下 使 用 全 局 CLINT 对 象 以 外 ， 有 时 目 动 创建 
和 清除 CLINT 变量 也 是 相当 实用 的 。 为 了 实现 这 个 目的 ， 我们 将 创建 几 个 函数 ， 用 于 生 
成 、 使 用 、 清 除 、 移 动 一 组 CLINT 对 象 ， 即 所 谓 的 寄存 器 组 ， 一 种 动态 分 配 的 数据 结构 。 
这 里 采用 LSkalj 描 述 的 梗概 ， 并 致力 于 CLINT 对 象 应 用 的 细节 。 

我 们 将 这 些 函 数 分 为 私有 管理 图 数 和 公有 图 数 。 后 者 对 于 其 他 需要 操纵 寄存 器 的 外 部 
哺 数 来 说 是 可 用 的 。 然 而 ，FLINT/C 函数 本 身 并 不 使 用 寄存 如 ， 因 此 对 寄存 右 使 用 的 完 
全 控制 可 由 用 户 函 数 来 保证 。 

当 程序 正在 运行 时 可 用 寄存 器 的 数目 应 该 是 可 以 设置 的 ， 因 此 我 们 需要 一 个 静态 变量 
NoofRegs 来 记录 寄存 器 的 数目 ， 该 变量 预定 义 为 常量 值 NOOFREGS。 

static USHORT NoofRegs = NOOFREGS ; 

现在 我 们 定义 用 来 管理 寄存 需 组 的 主要 数据 结构 : 

struct clint_registers 


j int noofregs; 
int created; 
clint **reg 1; /* 指向 CLINT 地 址 数组 的 指针 */ 
}; 
结构 clint_registers 包含 变量 noofregs、 变 量 created 以 及 指针 reg 1, HP 
noofregs 是 指 寄存 器 组 所 包含 的 寄存 天 的 数量 ，created 表示 寄存 器 组 是 否 已 被 分 配 ， 
reg_ 1 工 指 回 取 单 个 寄存 仑 起 始 地 址 的 数组 。 
static struct clint_registers registers = {0, 0, 0}; 
SUE DT iC By A E FE ek RUO A FÆ M if FF a 2 AY PKB allocate reg 1() 和 用 于 清除 寄 
TF air ZH EY PRIA destroy reg 1(). ERIN EE T FF fe at aR HE AY 28 lala. e A — A ts ny 
量 register.reg 1 的 指针 。 紧 接着 调用 C 标准 库 的 malloc () 为 每 一 个 寄存 器 分 配 内 存 。 
CLINT 寄存 需 是 由 malloc () 分 配 的 内 存单 元 ， 这 一 事实 在 检验 FLINTVC 函数 中 起 着 重要 
作用 。 在 13. 2 市 中 我 们 将 看 到 如 何 使 检验 每 一 个 可 能 出 现 的 内 存 错误 成 为 可 能 。 
static int 


allocate reg 1 (void) 
{ 
USHORT i, j; 
首先 ， 为 寄存 器 地 址 的 数组 分 配 内 存 。 
if ((registers.reg 1 = (clint **) malloc (sizeof(clint *) * NoofRegs)) == NULL) 
{ 
return E CLINT MAL; 


} 
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现在 讨论 每 个 寄存 器 的 分 配 。 如 果 在 此 过 程 中 调用 malloc () 以 错误 告终 ， 则 所 有 此 
前 分 配 的 寄存 器 将 被 清除 ， 且 返回 错误 码 E CLINT MAL, 


for (i = 0; i < NoofRegs; i++) 


{ 
if ((registers.reg l[i] = (clint *) malloc (CLINTMAXBYTE)) == NULL) 
{ 
for (J = 0; j < i; j+) 
{ 
free (registers.reg 1[j]); 
} 
return E CLINT MAL; /* malloc 错误 */ 
} 
} 
return E CLINT OK; 


} 

K% destroy reg 1() 本 质 上 是 函数 create reg 1 的 道 : 首先 用 0 重 写 寄存 器 以 将 
寄存 器 的 内 容 清 空 。 之 后 每 个 寄存 器 通过 free () 返 回 。 最 后 ， 释 放 registers.reg_1 48 
回 的 内 存 。 


static void 
destroy reg 1 (void) 
{ 


unsigned i; 


for (i = 0; i < registers.noofregs; i++) 
{ 
memset (registers.reg l[i], 0, CLINTMAXBYTE); 
free (registers.reg 1[i]); 
} 
free (registers.reg 1); 
} 
现在 讨论 用 于 寄存 器 管理 的 公有 函数 。 使 用 函数 create_reg_1() ， 创 建 一 个 寄存 器 
组 ， 寄 存 器 的 数目 由 NoofRegs 确定 。 需 要 调用 私有 函数 allocate reg 1(). 


: CLINT 类 型 的 寄存 器 组 的 分 配 


int create reg 1 (void); 


E CLINT OK ， 如 果 分 配 成 功 
E CLINT MAL， 如 果 malloc() 出错 





int 
create reg 1 (void) 


{ 
int error = E CLINT OK; 


if (registers.created == 0) 


{ 


error = allocate reg 1 (); 
registers.noofregs = NoofRegs; 


} 
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if (!error) 
{ 


++registers.created; 
} 
return error; 

} 

结构 registers 涉及 变量 registers.created， 该 变量 用 于 对 要 求 创 建 的 寄存 器 数 
目 进行 计数 。 调 用 下 面 描述 的 图 数 free reg 1() 可 以 在 registers.created 值 为 1 时 
释放 寄存 融 组 。 否则 ，registers.created 减 1。 通 过 应 用 这 种 称 为 信号 量 的 机 制 ， 我 们 
设法 阻止 一 个 函数 分 配 的 寄存 器 组 被 男 一 函数 不 经 意 释 放 的 情况 。 男 一 方面 ， 每 一 个 通过 
调用 函数 create reg 1() 来 申请 寄存 器 组 的 图 数 ， 都 应 负责 用 free reg 1 () 释 放 它 。 
此 外 ,一般 地 ， 在 一 个 函数 被 调用 后 ， 不 能 假定 寄存 右 包 含 特定 的 值 。 

变量 NoofRegs 决定 create reg 1() 所 创建 的 寄存 器 数目 ， 它 可 由 set noofregs 
1() 函数 改变 。 然 而 ， 这 一 改变 直到 当前 分 配 的 寄存 右 组 被 清除 以 及 create reg 1 创建 一 
个 新 的 寄存 器 组 之 后 才 生 效 。 


功能 : 设置 寄存 器 数目 


语法 : void set noofregs 1(unsigned int nregs); 


输入 : nregs( 和 寄存 器 组 中 寄存 器 的 数目 ) 





void 
set_noofregs 1 (unsigned int nregs) 


{ 
NoofRegs = (USHORT)nregs; 


} 

既然 可 以 分 配 一 个 寄存 器 组 ， 也 许 有 人 会 提出 这 样 的 问题 ， 对 于 单个 寄存 器 应 该 如 何 
访问 呢 ?” 对 此 ， 必 须 依靠 由 create_reg_1() 动 态 分 配 的 上 述 定义 的 结构 体 clint_reg 中 
的 地 址 域 reg 1， 这 将 由 下 面 引 入 的 函数 get reg 1 (0) 来 完成 ， 它 返回 一 个 指向 寄存 器 组 
中 单个 寄存 器 的 指针 ， 假 设 一 个 指定 的 序号 代表 一 个 被 分 配 的 寄存 器 。 


: 输出 一 个 指向 寄存 器 的 指针 


: Clint * get reg 1 (unsigned int reg); 


: reg (寄存 器 号 ) 
: 指向 所 需 寄 存 器 reg 的 指针 ， 如 果 寄 存 器 被 分 配 
NULIL， 如 果 寄 存 器 未 被 分 配 





clint * 
get reg 1 (unsigned int reg) 
{ 


if (!registers.created || (reg >= registers.noofregs) ) 


{ 
return (clint *) NULL; 


} 


return registers.reg l[reg]; 


} 
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因为 寄存 器 组 的 规模 和 在 内 存 中 的 位 置 可 以 动态 改变 ， 所 以 不 建议 读 取 寄存 融 后 存储 
其 地 址 作为 下 次 使 用 。 对 于 寄存 器 的 地 址 ， 更 好 的 做 法 是 随 用 随 取 。 在 文件 flint. h 中 
可 以 找到 几 个 形 为 : 

#define ro 1 get reg 1(0); 
的 预定 义 宏 。 借 助 它们 ， 无 需 额 外 的 语法 就 可 以 通过 寄存 器 目前 的 实际 地 址 来 调用 寄存 
器 。 下 面 介 绍 的 函数 purge reg 11() 可 通过 重 写 清除 单个 寄存 需 。 


功能 : 通过 用 0 完全 重 写 来 清除 寄存 器 组 中 的 一 个 CLINT FHS 
语法 : int purge reg 1 (unsigned int reg); 


输入 : reg (寄存 器 号 ) 
返回 : E CLINT OK， 如 果 删 除 成 功 
E CLINT NOR， 如 果 寄 存 器 未 被 分 配 





int 
purge reg 1 (unsigned int reg) 
{ 


if (!registers.created || (reg >= registers.noofregs) ) 


{ 
return E CLINT NOR; 


} 
memset (registers.reg l[reg], 0, CLINTMAXBYTE); 
return E CLINT_OK; 
} 
正如 单个 寄存 器 可 以 用 函数 purge_reg 1() 清 除 一 样 ， 整 个 寄存 器 组 可 以 由 函数 
purgeall reg 1() 进 行 重 写 清除 。 


功能 : 用 0 重 写 清除 所 有 的 CLINT 寄存 器 


Wik: int purgeall reg 1 (void) 


返回 : E CLINT _ OK， 如 果 删 除 成 功 
E CLINT NOR， 如果 寄 存 器 未 被 分 配 





int 
purgeall reg 1 (void) 
{ 
unsigned i; 
if (registers.created) 


{ 


for (i = 0; i < registers.noofregs; i++) 


{ 
memset (registers.reg l[i], 0, CLINTMAXBYTE); 


} 
return E CLINT OK; 
} 
return E CLINT NOR; 
} 
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一 个 好 的 编程 风格 和 习惯 应 该 使 得 所 分 配 的 内 存在 不 再 需要 时 被 释放 。 使 用 晴 数 free_ 
reg 1() 可 以 释放 现 有 的 寄存 器 组 。 然 而 ， 正 如 我 们 前 面 所 说 明 的 ， 只 有 在 结构 registers 
中 的 信号 量 registers.created 设置 为 1 后 ， 分 配 的 内 存 才 能 被 真正 释放 。 

void 

free reg 1 (void) 


{ 


if (registers.created == 1) 


{ 
destroy reg 1 (); 


} 


if (registers.created) 


{ 


--registers.created; 
} 
} 
现在 我 们 展示 3 个 函数 ， 类 似 于 对 整个 寄存 天 组 的 管理 ， 它 们 分 别 生成 、 清 除 和 释放 
单个 CLINT AITA o 


: 分 配 一 个 CLINT 类 型 的 寄存 器 


Clint * create 1 (void); 


: 指向 分 配 的 寄存 器 的 指针 ， 如 果 分 配 成 功 
NULL， 如 果 malloc() 出 错 





clint * 
create 1 (void) 
{ 
return (clint *) malloc (CLINTMAXBYTE); 
} 
按 这 种 方式 处 理由 create 1() 返 回 的 指针 是 重要 的 ， 它 不 会 “丢失 ”， 否 则 ， 无 法 访 


问 已 创建 的 寄存 器 。 序 列 


clint * do not_overwrite 1; 
clint * lost l; 


IE save M 
do not_overwrite 1 = create_1(); 
FE cae H 


do not_overwrite 1 = lost ]; 
分 配 一 个 寄存 器 并 将 它 的 地 址 存储 在 一 个 建议 称 为 do _ not _ overwrite _1 的 变量 中 。 
如 果 这 个 变量 包含 对 寄存 融 唯 一 的 引用 ， 那 么 在 最 后 一 条 指令 


do not_overwrite 1 = lost_l; 
之 后 ， 寄存 器 丢失 ， 这 是 指针 管理 堪 中 的 一 个 典型 错误 。 

与 任何 其 他 CLIINT 变量 一 样 ， 一 个 寄存 器 可 用 下 面 的 函数 purge _ 1() 清 除 ， 而 为 该 
寄存 器 所 保留 的 内 存 被 0 重 写 ， 因 此 被 清除 。 


功能 : 通过 完全 用 0 重 写 清除 一 个 CLINT 对 象 


语法 : void purge 1 (CLINT R 1); 
输入 : n 1 (CLINT 对 象 ) 





void 
purge 1 (CLINT n_1) 
{ 
if (NULL != n 1) 
{ 
memset (n 1, 0, CLINTMAXBYTE); 

} 

} 


F TAT RS PRB SC FE FE E AY FF it OC TEE BR Je PET EL FT ot ic A A FF > 


再 被 访问 。 


功能 : 清除 并 释放 一 个 CLINT 寄存 器 


语法 : void free 1 (CLINT reg 1); 
输入 : reg 1 (指向 一 个 CLINT 寄存 器 的 指针 ) 
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void 
free 1 (CLINT reg 1) 
{ 
if (NULL != reg 1) 
{ 
memset (reg 1, 0, CLINTMAXBYTE); 
free (n 1); 
} 
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Cryptography in C and C++, Second Edition 


基本 数论 明 数 





我 汐 曾 听 到 它 ， 因 为 我 始终 认为 数论 是 数学 的 皇后 ， 是 数学 最 纯粹 
的 分 支 ， 也 是 一 个 没有 位 何 应 用 的 数学 分 支 。 
—D. R, Hofstadter, K Gödel, Escher, Bach) 


前 面 章节 中 给 出 了 一 个 完备 的 运算 函数 的 工具 集 ， 现 在 将 把 注意 力 从 数论 王国 转向 一 
些 基 础 算法 的 实现 上 。 接 下 来 的 几 章 将 要 讨论 的 数论 函数 构成 一 个 集合 ， 这 个 集合 既是 大 
整数 运算 的 应 用 示例 ， 同 时 也 是 更 复杂 的 数论 计算 和 密码 学 应 用 的 重要 基础 。 这 里 给 出 的 
源 代 码 可 以 进行 各 种 扩展 ， 以 使 得 在 几乎 所 有 的 应 用 中 这 些 必 要 的 工具 都 可 以 按照 示范 的 
方法 集成 。 

下 面 的 实现 中 所 基于 的 算法 是 参考 文献 LCohe]、[ HKWj、[ Knut]、[ Kran j 和 [Rose ] 
给 出 的 。 与 前 面 一 样 ， 我 们 根据 效率 和 尽 可 能 广泛 的 应 用 赋 给 参数 一 些 特 定 的 值 。 

接 下 来 的 各 节 包 含 所 需要 的 最 简洁 的 数学 理论 来 解释 给 出 的 函数 以 及 它们 可 能 的 应 
用 。 最 终 ， 读 者 会 从 处 理 这 些 材 料 所 需 的 努力 中 收获 好 处 。 那 些 有 兴趣 彻底 而 深入 了 解数 
论 的 读者 可 以 参考 文献 LBundj 和 [LRosej。 文 献 LCohej 对 数论 算法 方面 的 考虑 和 描述 尤为 
清楚 和 准确 。 参 考 文献 LSchr] 给 出 了 数论 应 用 的 一 个 较 全 面 的 概述 ， 而 LKoblj 则 侧重 于 讲 
述 数论 在 密码 学 方面 的 特点 。 

本 章 将 阐述 大 整数 的 最 大 公约 数 和 最 小 公 倍 数 的 计算 、 剩 余 类 环 的 乘法 性 质 、 二 次 剩 
余 的 判定 、 在 剩余 类 环 中 平方 根 的 计算 、 解 决 线性 同 余 的 中 国 剩余 定理 以 及 素数 的 判定 等 
问题 。 本 书 为 这 些 问 题 的 理论 基础 补充 了 相应 的 实用 建议 和 解释 。 同 时 ， 本 书 还 开发 了 一 
些 函 数 并 使 之 能 为 实际 的 应 用 程序 服务 ， 这 些 艺 数 包含 了 本 书 所 描述 算法 实现 。 


10. 1 最 大 公约 数 


在 学 童 时 代 教 会 孩子 用 素数 分 解 来 未 解 两 个 整数 的 最 大 公约 数 ， 而 不 是 用 要 
自然 的 Euclid 算法 ， 这 是 教育 中 一 件 丢脸 的 事 。 
—— W. Heise, P. Quattrocci, (Information and Coding Theory) 


简 而 言 之 ， 整 数 a 和 5 的 最 大 公约 数 (gcd) 就 是 其 公约 数 中 能 被 a 和 2 的 所 有 公约 数 整除 
的 正 除数 。 因 此 ， 最 大 公约 数 是 唯一 的 。 在 数学 中 ， 两 个 整数 a 和 2&( 不 同时 为 0) 的 最 大 公 
约 数 d 可 以 如 下 定义 : d=ged(a, b): 如 果 d>0. dla,，d|5， 并 且 对 满足 dla,，d |b 的 
所 有 整数 d' 都 有 d |& 。 

可 以 方便 地 将 该 定义 扩展 为 包括 : 

gcd(0,0) = 0 

因此 ， 最 大 公约 数 是 对 所 有 整数 对 定义 的 ， 尤 其 是 用 CLINT 对 象 表 示 的 整数 。 最 大 公 

约 数 满足 如 下 性 质 : 
1) ged(a.b) = ged(b,a) 
2) gcd(a,0) = |a| (a 的 绝对 值 ) 
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3) ged(a,b,c) = ged(a.ged(b,c)) 
4) gcd(a.b) = ged(— a,b) 
其 中 ， 只 有 1) 一 3) 与 CLINT WRAK. 
首先 应 该 介绍 计算 最 大 公约 数 的 经 典 过 程 ， 该 过 程 是 由 希腊 数学 家 Euclid( 公 元 前 3 
世纪 ) 给 出 的 ， 他 也 被 Knuth 称 为 所 有 算法 的 始祖 (参见 [Knut | 316 W), Euclid 算法 包 
含 了 一 系列 带 余 除法 。 该 算法 从 a modb 的 余数 开始 ， 然 后 是 5 mod (a mod b), 以 此 类 推 
HB ARMAS 


(10-1) 


HR a, bS0HRABARB gcd(a, b) A Euclidean 算法 


2) & r<a mod b, axb, ber, KREHFFR 1. 





根据 Euclidean 算法 计算 目 然 数 a, Aa 的 最 大 公约 数 的 过 程 如 下 : 


a; = azqı +a; 0< az <a, 
4 一 439g2 +a, 0 < ay < a; 


C3 — a41q3 十 as 0 < as < éli 
Gm2 Um 1 dm—2 F A m 0 < Am 过 Am- 


结果 为 : 
gedkal ss) = am 
以 gcd(723，288) 为 例 ， 按 上 述 过 程 计 算 : 
723= 288 X 2+ 147 
288= 147 X 1+ 141 
147=> 141K 1+ 6 
141= 6 X 23 十 3 
6= 3X2 
结果 为 : 
gcd(723,288) = 3 
上 述 过 程 能 很 好 地 计算 最 大 公约 数 并 可 以 让 计算 机 执行 该 工作 。 对 应 的 程序 简短 高 
效 ， 并 且 由 于 其 简洁 ， 所 以 几乎 不 会 出 错 。 
整数 和 最 大 公约 数 的 如 下 性 质 也 为 程序 改进 提供 了 可 能 (至 少 在 理论 上 ): 
1)a 和 6 是 偶数 二 gcd(a,b) = ged(a/2,b/2) X 2 
2) a 是 偶数 且 b 是 奇数 二 gcd(a,b) = gcd(a/2,b) 
3) ged(asb) = ged(a — b,b) 
4ha fib ETA >a—b £18 RA la —b|< max (a,b) 
根据 上 述 性 质 ， 如 下 算法 的 优点 是 只 用 到 了 大 小 对 比 、 减 法 和 CLINT 对 象 移 位 等 运 
算 ， 而 这 些 运算 并 不 需要 大 量 的 计算 时 间 ， 同 时 针对 这 些 运 算 ( 尤 其 是 不 需要 除法 运算 ) 还 
有 一 些 高 效 的 图 数 。 在 LKnutj4. 5. 2 节 算 法 B 中 和 [Cohe]1.3 节 算 法 1.3.5 中 可 以 找到 二 
进 制 欧 几 里 得 算法 计算 最 大 公约 数 的 几乎 完全 相同 的 形式 。 


(10-2) 
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H4 a, b>0 的 最 大 公约 数 gcd(a, 5b) 的 二 进 制 Euclidean 算法 

1) 若 a 二 5b5， 则 交 摘 a feb 的 值 。 当 5 二 0， 输出 a 并 结束 算法 。 否 则 ， 令 有 <-0， 并 
且 只 要 a 和 6b 都 是 偶数 ， 则 执行 如 下 3 个 操作 : k<-k 十 1 、a<-a/2、b<b/2。 
(这 里 使 用 了 前 文 描 述 的 性 质 1)， 这 样 a fob 就 不 再 都 为 偶数 ,) 


2) 只 要 a 为 偶数 ， 则 重复 执行 a<-a/2 直到 a ATK. RA, Rib 为 偶数 ， 则 重复 执 
íf b<b/2 直到 6b 为 奇数 (这 里 使 用 了 前 文 描述 的 性 质 2)， 这 样 a 和 0 就 都 为 奇数 了 。) 

3) A t<«(a—b)/2, Ht=0. Werk 2a 并 结束 算法 。( 这 里 使 用 了 性 质 1 )、2) 和 3),) 

4) 只 要 t 为 偶数 ， 则 重复 执行 1<-t/2 直到 t 为 奇数 。 若 t>0， 则 令 a< 否则 令 65 一 
一 上 。 然 后 转 到 第 3 步 。 





该 算法 可 以 逐步 转换 为 程序 函数 。 根 据 文 献 [LCohe]， 本 书 在 步骤 1 中 额外 执行 了 带 余 除法 
并 令 ra mod 0、a< 和 b<-r。 这 样 就 使 操作 数 a 和 6 的 大 小 相同 以 便 优化 程序 的 运行 时 间 。 


: 最 大 公约 数 
: void gcd_1(CLINT aa l, CLINT bb 1, CLINT cc 1); 


: aa l, bb 1( 操 作 数 ) 
: cc 1( 最 大 公约 数 ) 





void 
gcd 1 (CLINT aa 1, CLINT bb 1, CLINT cc 1) 
{ 
CLINT 过 JAD 
unsigned int k = 0; 
int sign of t; 
第 1] 步 : 假如 参数 不 相等 ， 则 将 较 小 的 参数 赋值 给 b 1. #b_1=0, Mal 即 为 输 
出 的 最 大 公约 数 。 
if (LTL (aa 1, bb 1)) 


cpy_1 (a_l, bb 1); 
cpy 1 (b 1, aa 1); 


cpy 1 (a 1, aa 1); 
epy 1 (b_1, bb 1); 


if (EQZ L (b 1)) 
{ 
epy 1 tee 1, aij; 
return; 
} 
下 面 的 带 余 除法 用 于 较 大 的 操作 数 a 1， 目 的 是 将 2 的 寄 从 a 1 和 b 1 中 除去 。 
(void) div 1 (a1, b1, tl; r 1); 
cpy_l (al, b 1); 
copy 1. {b 1, x T); 
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if (EQZ_L (b1)) 
{ 
cpy_l (cc_l, al); 
return; 
} 
while (ISEVEN L (a 1) && ISEVEN L (b 1)) 
{ 
++k; 
shr 1 (a1); 
shr 1 (b_1); 
} 
第 2 步 。 
while (ISEVEN L (a 1)) 
{ 
shr 1 (a 1); 
} 
while (ISEVEN L (b 1)) 
{ 
shr 1 (b 1); 
} 

第 3 步 : 这 里 通过 a 1 和 b 1 的 比较 使 得 a 1 和 b 1 的 差 在 较 小 的 范围 内 。 两 数 之 差 
的 绝对 值 就 存放 在 上 1 中， 而 差 的 符号 则 存放 在 整 型 变量 sign of t P. #t 1==0, 
算法 结束 。 

do 

{ 
if (GE t (a 1, b 1)) 
{ 
sub..1. (aL; bi, 区 
Sign of t = 1; 
} 
else 
{ 
sub 1 (b 1, ai, tI 
sign of t = -1; 
} 
if (EOZ L {t 1)) 
{ 
ewl (cc_l, a1); /J* ee l l= aty 
shift 1 (ce 1, (long int) k); /* cc 1 <- ce 1*2**k: +7 
return; 
} 
HAV: 根据 七 1 的 符号 ， 将 七 1 动态 分 配给 a 1 或 b 1。 
while (ISEVEN L (t_1)) 
{ 
shri. (t..1)$ 
} 
if (-1 == sign of t) 
{ 
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cpy 1 (b 1, t_l); 
} 


else 


coy 1 fa T, tT); 
} 
} 
while (1); 
} 
尽管 所 使 用 的 操作 在 操作 数 的 位 数 上 都 是 线性 的 ， 但 是 测试 结果 显示 ， 作 为 一 个 
FLINT/C 函数 ，10. 1 节 中 简单 的 最 大 公约 数 算法 并 不 比 上 述 优化 程序 的 运行 效率 低 。 对 
于 这 种 奇怪 的 现象 ， 排 除 其 他 更 好 的 解释 后 ， 本 书 将 其 归 因 于 除法 程序 的 效率 和 上 述 优化 
程序 算法 需要 更 复杂 的 结构 。 
多 个 参数 的 最 大 公约 数 计算 可 以 通过 多 次 执行 函数 gcq_1 () 来 获得 ， 因 为 式 (10-1) 的 
性 质 3)， 而 更 为 普遍 的 情形 可 以 递归 地 约 简 为 两 个 参数 的 情形 : 
ged ni sn,) = ged(n, ; ged (ns ,°**4n,)) (10-3) 
求 出 了 最 大 公约 数 ， 就 可 以 方便 地 计算 两 个 CLINT 对 象 a 1 Al b_1 的 最 小 公 倍 数 (lcm)。 
非 零 整数 m, e n 的 最 小 公 倍 数 可 以 定义 为 集合 {mE N |n WR m, i=1, =, re} PA 


最 小 元 素 。 因 为 该 集合 至 少 包含 所 有 数 的 乘积 |] || ， 所 以 该 集合 非 空 。 对 于 两 个 参数 a， 


bE Z ， 最 小 公 倍 数 可 以 用 它们 乘积 的 绝对 值 除 以 最 大 公约 数 来 计算 : 
lem(a,b) » gcd(a,b) = |ab| (10-4) 
利用 该 关系 就 可 以 方便 地 计算 a 1 和 b 1 的 最 小 公 倍数 。 


语法 .int lcm 1 {CLINTa 1, CLINT b 1, CLINT C 1); 
WA: al, b 1( 操 作 数 ) 


输出 : cc 1( 最 小 公 倍 数 ) 
返回 : E CLINT OK， 如 果 成 功 
E CLINT OFL， 如 果 溢 出 





int 
lcm 1 (CLINT a 1, CLINT b 1, CLINT c 1) 
{ 
CLINT g 1, junk 1; 
if LEOZ L (a1) || EOZ. L. (b 17) 
{ 
SETZERO L (c_1); 
return E CLINT OK; 
} 
gcd 1 (a_l, bl, g 1); 
div 1 (al, gl, g 1, junk 1); 
return (mul 1 (g 1, b 1, c 1)); 
} 
同样 ， 多 个 参数 的 最 小 公约 数 的 计算 也 可 以 递归 地 约 简 到 两 个 参数 的 情形 : 


lem(m s" 57,) = lem(m, »gced(nz 7 (10-5) 
但 是 ， 式 (10-4) 却 不 满足 多 个 参数 的 情形 ;简单 的 事实 就 是 lem (2, 2, 2) © ged(2, 
2，2) 二 4 关 2*。 但 是 ， 确 实 存 在 多 个 参数 的 最 大 公约 数 与 最 小 公 售 数 之 间 关 系 的 泛 化 。 即 
lem(a;b.c) * gcd(ab ,ac ,bc)= | abc | (10-6) 
或 gcdla,b,c) © lem(ab,ac »bc) = | abc | (10-7) 
最 大 公约 数 和 最 小 公 倍 数 的 特殊 而 本 质 的 二 无 关系 在 另外 一 个 有 趣 的 公式 中 表达 出 
来 。 有 趣 之 处 在 于 ， 在 公式 中 交换 最 大 公约 数 和 最 小 公 倍 数 的 作用 ， 公 式 的 正确 性 保持 不 
变 ， 比 如 式 (10-6) 和 式 (10-7)。 对 于 最 大 公约 数 和 最 小 公 倍数 ， 存 在 分 布 律 ， 即 
gcd(a,lem(b,c)) = Iem(ged(a,b),gced(a.c))) (10-8) 
Icem(a,ged(b.c)) = ged(lem(a,b),lem(a.c))) (10-9) 
更 有 甚 者 (参见 LSchr ]2. 4 49): 
gcd(lem(a,6) ,lem(a.c) slem(b.c)) = Iem(ged(a,b),gced(asc),ged(b,c)) (10-10) 
除了 其 尿 人 的 对 称 性 使 得 形式 非常 漂亮 之 外 ， 这 些 公 式 也 为 处 理 最 大 公约 数 和 最 小 公 
倍数 提供 了 出 色 的 测试 ， 其 中 运算 图 数 也 被 隐 式 地 测试 了 (测试 这 个 主题 参见 第 12 章 )。 
ELEM AA RS T the Hi. 
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10.2 剩余 类 环 中 的 乘法 逆 

与 整个 自然 数 上 的 运算 不 同 ， 加 上 一 定 假设 条 件 后 ， 在 剩余 类 环 中 可 以 计算 乘法 道 。 
顾名思义 ， 不 是 所 有 的 自然 数 ， 而 是 其 中 有 不 少 元 素 ae Z, 都 存在 一 个 合适 的 TE Z,. 
使 得 a， 工 二 1。 这 等 同 于 断言 a* x 三 1 mod n fila + x mod n=1 都 成 立 。 例如， 在 Zu 中 ， 
3 和 5 互 为 乘法 道 ， 因 为 15 mod 14=1, 

Z, 中 元 素 的 乘法 逆 的 存在 性 并 不 显而易见 。 在 第 5 章 中 ,结论 仅仅 是 ( 乙 ,，“，) 是 以 
1 为 单位 元 的 有 限 交 换 半 群 。 通 过 Euclidean 算法 可 以 给 出 元 素 a€ Z, 存在 乘法 逆 的 一 个 
充分 条 件 。10. 1 节 中 的 第 1 Euclidean 算法 中 的 倒数 第 二 个 等 式 

fs = 4,-;0,-4 4, FS te <= Bey 


可 以 变换 为 : 
Am = Anm- ~ Ami * m SE 
以 此 类 推 ， 可 以 获得 如 下 等 式 : 
Am- — Um-3 dm-2 ® Am3 (2) 
Big 9 m üni — Ons * Tua (3) 
as = ay — az * Gi» (m— 2) 
若 将 式 (1) 中 的 cv 一 用 式 (2) 的 右边 代替 ， 则 有 : 
人 
或 
a 


以 此 类 推 ， 直到 式 (m 一 2)， 读 者 可 以 得 到 a, Aa, 和 as 的 线性 组 合 ， 并 且 其 中 包含 了 组 
成 Euclidean 算法 的 商 q: 因子 的 系数 。 

按照 这 种 方式 可 以 得 到 gcd(a, 5b) 一 uw，a 十 vu，b :二 g 的 男 一 种 表达 形式 : g 是 a Mo 
的 线性 组 合 ， 并 且 以 w 和 w 为 整数 因子 ,其 中 尺 模 a/g 和 w b/g 都 是 唯一 的 。 若 对 于 元 
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Zac Z, # ecdla, n)=l=u* atv" db, Wi) l=ueamodn, Kas n=1, TERE A 
F, uin 是 唯一 的 ， 于 是 去 就 是 Z, Paw. 这 样 就 找到 了 剩余 环 Z, 中 的 元 素 存 在 乘 
法 逆 的 条 件 ， 并 且 同 时 可 以 获得 一 个 构造 这 样 的 道 的 过 程 ， 该 过 程 可 以 用 如 下 的 例子 来 展 
示 。 我 们 重新 整理 前 面 计算 gcd(723，288) 的 过 程 : 
3 一 141 一 6。23 
6= 147—141-1 
141= 288 — 147 » 1 
147= 723 — 288 « 2 
如 上 可 以 获得 最 大 公约 数 的 新 的 表示 方法 : 
3= 141 — 23。 (147— 141) = 24 + 141 — 23 « 147 
= 24 « (288 — 147) — 23 »• 147 =— 47 « 147 + 24 « 288 
=— 47 + (723 —2 288) +. 24 « 288 =—47 + 723+ 118 « 288 

这 种 形式 的 最 大 公约 数 的 快速 计算 过 程 需要 保存 每 个 商 9;( 如 上 所 述 ) 以 提供 往 回 计算 
所 需 的 因子 。 由 于 需要 大 量 的 存储 空间 ， 这 样 的 过 程 并 不 实用 。 因 此 ， 有 必要 在 存储 代价 
和 计算 时 间 之 间 寻 找 一 个 平衡 点 ， 这 也 是 算法 的 设计 和 实现 中 的 典型 权衡 。 为 了 得 到 一 个 
实用 的 过 程 ， 需 要 进一步 修改 Euclidean 算法 ， 使 得 最 大 公约 数 作为 一 个 线性 组 合 可 以 与 
最 大 公约 数 本 身 的 值 一 同 计算 。Z, 中 的 元 素 & AH geda, n)=1, WHEW TE Z,. 
反 过 来 也 成 立 : EZ, 中 的 元 素 & AEM, WA gcd(a， nn) 二 1( 读 者 可 以 在 参考 文献 
[Nive] 中 找到 其 数学 证 明 ， 定 理 2. 13 的 证 明 )。 这 里 ,读者 也 可 以 看 到 没有 公约 数 ( 即 互 素 ) 
问题 的 重要 性 : 当 考 虑 由 元 素 a€ Z, 所 构成 的 集合 的 子 集 Zw :二 {4a€ Z,|gced(a, n)=1}, 
即 除 了 1 以 外 该 子 集中 元 素 a 5n 没有 其 他 公约 数 时 ， 则 可 以 得 到 一 个 关于 乘法 运算 的 交 
换 群 ， 在 第 SM, 我 们 已 经 用 (ZX，。…，) 表 示 。(Z,，。) 是 带 单位 元 的 交换 半 群 ， 它 具有 
的 以 下 性 质 在 (ZX，。，…) 也 存在 : 

e (2Z,，。) 的 结合 

e (2Z,，。) 的 交换 律 。 

o 存在 单位 元 ; 对 于 所 有 的 a€ Z, HEI, 使 得 a&，1=a。 

由 于 精确 地 选择 了 拥有 逆 的 元 素 ， 所 以 乘法 逆 的 存在 性 也 保证 了 。 于 是 ， 此 时 只 需要 
PEAS A, BU ZX 中 的 两 个 元 素 & 和 5 的 乘积 a* 6 也 是 Z” 中 的 元 素 。 封 闭 性 是 容易 证 明 
的 : 若 a 和 6 都 与 n 互 素 ， 则 a 和 5 的 乘积 与 n 不 可 能 有 非 平 凡 的 公共 因子 ( 即 除了 1 以 外 的 
公约 数 一 一 译 者 注 )， 因 此 #5* 5 也 属于 集合 Z”。 于 是 群 Z” 就 称 为 与 n 互 素 的 剩余 类 群 。 

Z7 中 元 素 的 个 数 ， 或 者 说 ， 集 合 {1，2，…，nn 一 1) 中 与 n 互 素 的 整数 的 个 数 由 Euler 
函数 $8(n) 给 出 。 由 于 自然 数 n 可 以 写成 n= 二 ph pz…pr， 所 以 


tn) = Tle — 1) 
(参见 LNivej]2. 1 节 和 2.4 节 )。 例 如 ， 这 也 意味 着 假若 p ERK., WZ 中 就 有 pp 一 1 
DERO, 
# gcd(a，7) 二 1， 则 根据 费 马 (Fermat) 小 定理 的 Euler HES, a®*” =1 mod n, FE 
a” | mod n 的 计算 就 决定 了 za 的 乘法 逆 。 例 如 ， 当 n= 二 p， gq 时， 其 中 p 关 g HEIKH, 





O 在 这 种 情况 下 ，Z。， 事实 上 是 一 个 域 ， 因 为 (Z,, 十 ) 和 (ZX¥，。…)=(Z\ {0}，。，…) 都 是 交换 群 (参见 
LNivej2. 11 节 )。 有 限 域 非常 有 用 ， 例 如 编码 理论 ， 同 时 在 现代 密码 学 中 也 扮演 着 重要 的 角色 。 

© Fermat 小 定理 表明 ， 对 于 一 个 素数 p AER BM a, H a? =a mod p, “4 p 不 是 a 的 因子 时 , a? =l mod p 
(参见 LBundj 第 2%, § 3. 3) Fermat 小 定理 及 其 Euler 推广 是 数论 中 极其 重要 的 定理 。 
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aE ZX, Wa? P?=1 modn, Alka’? 2 mod n 就 是 a fin Wet. 但 是 ， 即 使 是 
在 $(n) 已 知 的 有 利 前 提 下 ， 这 个 计算 还 要 求 代 价 为 ol(log n) MY BEEZ FE. 

通过 将 前 文 的 构造 整合 到 Euclidean 算法 中 ， 可 以 在 不 知道 Euler 函数 值 的 情况 下 将 
计算 代价 降低 到 o(log*n)。 为 此 引入 变量 和 vw， 于 是 变量 


a; = ua + vb 
在 10.1 节 第 一 个 Euclidean 算法 给 出 的 过 程 中 依然 是 独立 的 步 又， 其 中 
Ga, = Wa mod a; 


这 些 变量 在 算法 的 最 后 给 出 了 所 需 的 以 & 和 6 的 线性 组 合 形式 给 出 的 最 大 公约 数 表 示 ， 这 
个 过 程 称 为 扩展 的 Euclidean 算法 。 

下 面 的 Euclidean 算法 的 扩展 是 采用 [LCohe]1. 3 节 的 算法 1.3.6。 前 面 的 变量 v 只 是 隐 
含 地 使 用 ， 并 在 最 后 以 wv: 二 (4d 一 wu，a)/b 来 计算 。 


扩展 Euclidean 算法 ， 计算 gcd(a, 5b) 和 因子 u, v 以 使 gcd(a, b)=u-atv-eb, 
0<a, b 
1) 令 4<-1]，d<-a。 若 5 二 0， 则 令 v<-0 并 结束 算法 ; 否则 令 <0, wyb, 


2) 用 带 余 除 法 计算 gq 和 ts， 其 中 d 二 gqg。，w 十 ts 并 且 t <v, WAE ti euq’ uw, u- 
Vi» A; s UV; t 和 U, tiz è 


3) # v =0, MWA ve(d—u » a)/b 并 结束 算法 ; 否则 ， 回 到 步骤 2。 





接 下 来 要 介绍 的 函数 xzgcd 1() 使 用 了 辅助 函数 sadd() 和 ssub () 来 (超常 规 地 ) 计 算 
带 符号 加 法 和 减法 。 上 述 每 个 函数 都 会 将 符号 预先 作为 一 个 传递 的 参数 进行 处 理 ， 然 后 再 
调用 核心 函数 add () Al sub () (参见 第 5 章 )。 这 两 个 核心 函数 分 别 执行 加 法 和 减法 运算 ， 
且 不 考虑 溢出 问题 。 基 于 自然 数 的 除法 函数 div 1() 还 有 一 个 辅助 的 函数 smod ()， 该 函 
数 用 来 计算 a mod b 的 余数 ， 其 中 <，2pEZ，25>0。 这 些 辅助 函数 在 后 面 的 章节 也 会 用 
到 ， 在 函数 chinrem 1()( 见 10. 4.3 节 ) 中 与 中 国 剩余 定理 的 应 用 连接 起 来 。 在 处 理 整 数 
的 FLINTVC 库 的 一 个 可 能 扩展 中 ， 可 以 将 这 些 函 数 当 作 处 理 带 符号 整数 运算 的 范例 。 

使 用 如 下 函数 的 方式 是 合理 的 : 假如 参数 满足 a, b> Nx /2， 作 为 函数 xgcd 11() 返 
回 值 的 因子 x 和 w 会 发 生 洲 出 。 在 这 种 情况 下 ， 必 须 为 w 和 w 保留 足够 的 空间 ， 因 此 需要 
以 CLINTD 或 CLINTO 类 型 调用 函数 来 声明 ( 见 第 2 BE), 


: 扩展 Euclidean 算法 ,计算 自然 数 a, b 的 最 大 公约 数 acdla, bD=uratveb 
void xgcd_1 (CLINT a l, CLINT 1, CLINTg 1, 
CLINT u_ l; Int + sigi Us 
CLINT v ly Int * sign v)? 


:a l, b 1( 操 作 数 ) 

: Gg l(a 1l1 和 b 1 的 最 大 公约 数 ) 
u 1、V 1(g 1 的 表示 中 a 1 和 b 1 的 因子 ) 
*sign ulu 1 的 符号 ) 
*sign viv 1 的 符号 ) 





void 
xgcd 1 (CLINT a 1, CLINT b 1, CLINT d 1, CLINT ul, int *sign u, CLINT v 1, 
int *sign v) 
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{ 
CLINT vi J, v3_1, til, €31, ql; 
CLINTD tmp 1, tmpu_l, tmpv_l; 
int sign v1, sign t1; 
第 ] 步 : 初始 化 。 
epy l (di, Es 
cpy_1 (v3. l, b_1); 
if (EQZ_L (v3_1)) 
{ 
SETONE L (u 1); 
SETZERO_L (v_1); 
*sign u = 1; 
*sign v = 1; 
return; 
} 
SETONE L (tmpu_1); 
*sign_u = 1; 
SETZERO L (v1_1); 
sign v1 = 1; 
第 2 步 : 主 循环 ; 计算 最 大 公约 数 和 u. 
while (CTZ L (v3_1)) 
{ 
div 1 fd L Bl, q_l, t3_l); 
mul 1 (vi 1, ql, q_1); 
sign t1 = ssub (tmpu_l, *sign_u, q 1, sign v1i, t1 1); 
cpy 1 (tmpu 1, v1 1); 
*sign U = sign v1; 
cpy 1 (d 1, v3_1); 
coy 1 (v1, t1_1); 
Sign v1 = sign t1; 
cpy 1 (v3 1, t3 1); 
j 
第 3 步 : 计算 Us FH 25 Rit Fz 
mult (a 1, tmpu 1, tmp_1); 
*sign v = ssub (d 1, 1, tmp 1, *sign_u, tmp 1); 
div 1 (tmp 1, b 1, tmpv 1, tmp_1); 
cpy 1 (u 1, tmpu 1); 
cpy_1 (v 1, tmpv_1); 
return; 


} 

由 于 使 用 FLINT/C 包 处 理 负 数 需 要 额外 的 开销 ， 所 以 在 计算 剩余 类 元 素 a4€ Z, 的 
道 时 只 考虑 最 大 公约 数 表示 (=u a 十 v* n 中 的 因子 w。 由 于 总 能 找到 这 样 一 个 正 数 u, 
所 以 就 可 以 不 考虑 负数 的 情形 。 下 面 的 算法 是 前 面 算 法 的 一 个 变形 ， 使 用 了 这 里 的 分 析 并 
完全 取消 了 对 v 的 计算 。 


扩展 Euclidean 算法 ， 计算 gcd(a, b) UÈ a mod n WRI, HH O<a, 0<n 


1) uel, gea, <0 和 vens 
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2) 用 带 余 除法 计算 qr bzs 其 中 a ¢* v +t; 且 t <v, WAE i<uUu qdq* Yj mod n, 


U0 EEs V tt Fe uth. 


3) Žv =0, Mek g 作为 最 大 公约 数 gedla, n)fe u Aa mod n Hw, FAR 
算法 ， 否 则 回 到 步骤 2。 





BURL AY ER ti eug e v mod n (RIES h, v 和 都 是 非 负 的 。 最 后 将 得 到 we {1，…， 
n 一 1)。 该 算法 的 编码 给 出 了 如 下 的 函数 。 
: 在 Z, 中 计算 乘法 逆 
: void inv_1(CLINT a 1, CLINT a 1, CLINT g 1,CLINT i I); 
i ats n 1( 操 作 数 ) 


: 9 l(a l 和 n 1 的 最 大 公约 数 ) 
i l(a 1modn 1 的 逆 ， 如果 定义 了 ) 





void 

inv 1 (CLINT a 1, CLINT n 1, CLINT g 1, CLINT i 1) 

CLINI vi la Wb tak; t3 1, qi 

测试 操作 数 是 否 为 0。 车 其 中 一 个 操作 数 为 0， 则 不 存在 北 ， 但 却 存 在 最 大 公约 数 ( 参 
见 10. 1 节 )。 结 果 变 量 i 1 就 没有 意义 了 ， 并 通过 为 其 赋 0 来 表示 。 

if (EQz L (a 1)) 


{ 
if (EOZ L (n_1)) 
{ 
SETZERO L (g 1); 
SETZERO L (i T); 
return; 
else 
cpy_l (g_l, nl); 
SETZERO L Gi 1); 
return; 
} 
} 
else 


if (EQZ L (n 1)) 
{ 
cpy_l (g 1, a_l); 
SETZERO L (i 1); 
return; 
} 
} 


第 1 步 : 变量 初始 化 。 
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cpy_l (g_l, al); 
cpy 1 (v3 1, n 1); 
SETZERO L (v1 1); 
SETONE L (t1 1); 
do 

{ 


第 2 步 : 除法 之 后 对 GTZ L(t3 1) 进 行 检验 ， 最 后 一 次 循环 时 不 必 再 调用 mmul 1 () 


和 msub 1()。 直 到 最 后 才 给 结果 变量 i 工 赋值 。 
div 1 (g 1, v3_1, ql, t3_1); 
if (GTZ L (t3_1)) 
{ 
mmul 1 (vil; 9 1; q l; n1); 
msub 1 EL Ty HL al nl); 
cpy_1 (E1 l; v1_1); 
cpy_l (vil; q_1); 
cpy 1 (g 1, v3 1); 
cpy_1 (v3_1, t3_l); 
} 


} 
while (GTZ_L (t3_1)); 


第 3 步 : 作为 最 后 必需 的 赋值 ， 从 变量 v3 1 中 获得 最 大 公约 数 ， 


为 ]， 则 可 以 从 变量 v1 1 中 获得 a 1 的 送 。 
cpy_l (g_ 1; v31); 
if (EQONE L (g 1)) 
{ 
cpy 1 (i L vi 1); 


else 
{ 
SETZERO L (1 1); 
} 
} 


10.3 R57% 


而 如 果 最 大 公约 数 


这 一 节 将 讨论 用 于 计算 CLINT 对 象 的 平方 根 的 整数 部 分 与 以 2 为 底 的 对 数 的 函数 。 为 
此 ， 首 先 考 虑 这 两 个 函数 中 的 后 者 ， 因 为 前 一 个 图 数 会 用 到 : 对 于 一 个 自然 数 a， 需 要 寻找 
一 个 数 e， 使 得 2 委 c 一 2 。 该 数 e= lloga | PME a 的 以 2 为 底 取 对 数 的 结果 中 的 整数 部 分 ， 
并 容易 由 a 的 相关 位 数 获 得 ， 可 以 由 下 面 的 函数 1d 1() 减 1 得到。FLINT/C 包 中 的 其 他 很 
多 函数 都 会 使 用 函数 19 1(), 不 考虑 前 导 零 ， 而 只 对 CLINT 对 象 的 相关 二 进 制 数 进行 计数 。 


功能 : CLINT 对 象 的 二 进 制 数字 的 位 数 
语法 : unsigned int ld d(CLINT a 1); 


输入 : n 1( 操 作 数 ) 





BE: n 1 的 二 进 制 数字 的 位 数 


unsigned int 
ld 1 (CLINT n_1) 





{ 

unsigned int 1; 

USHORT test; 
第 1 步 : 确定 以 B 为 基数 的 相关 数字 的 位 数 。 
l = (unsigned int) DIGITS L (n 1); 
while (n 1[1] == 0 && 1 > 0) 

{ 

ai 

} 
if (1 == 0) 

{ 


return 0; 
} 
第 2 步 : 确定 最 高 有 效 数字 的 相关 二 进 制 位 的 数目 。 宏 BASEDIV2 定义 了 最 高 位 为 ] 
且 其 他 位 都 为 0 的 数字 的 值 ( 即 ， a eal Sk 
test = n 1[1]; 
l <<= LDBITPERDGT; 
while ((test & BASEDIV2) == 0) 
{ 


test <<= 1; 
--l; 
} 


return l; 


} 

接 下 来 介绍 根据 经 典 的 Newton 法 (也 称 为 Newton-Raphson 法 ) 来 计算 自然 数 的 平方 
根 的 整数 部 分 。 这 是 通过 不 断 通 近 的 方法 来 确定 图 数 中 零 的 个 数 : 假设 函数 FCz) 在 区 间 
[a, 5b] 上 二 次 连续 可 导 ， 一 阶 导 数 aLa, b EAE, WA 


f(x) « f(a) 1 
ae fir) < 


若 zx, E [a，6j] 是 一 个 使 得 f(r)==0 的 数 > 的 近似 值 ， 则 z+ := 二 zx, 一 f(x)/ 了 (x,) 更 
接近 于 +， 按 这 种 方式 定义 的 序列 收敛 于 f 函数 的 零点 r (参见 LEnd1]7. 3 节 )。 

假设 f(r) =r c, HP co, WF r>, E f(x) 满足 上 述 Newton 法 的 收敛 条 
件 ， 并 有 : 


Fx 1 pa 
Krl 8 E Fa) g tn 


于 是 可 以 得 到 收敛 于 Vc 的 序列 。 由 于 其 良好 的 收敛 行为 ， 所 以 Newton ERI A HAE 
方 根 的 一 个 有 效 方 法 。 

由 于 只 关注 Vc 的 整数 部 分 rr， 而 7 又 满足 7 二 c 志 (7r 十 1)*， 其 中 c 为 自然 数 ， 所 以 只 需 
要 计算 元 素 在 逼近 序列 中 的 整数 部 分 。 可 以 从 数 zi 二 Yc 开始 ， 直 到 获得 的 数 大 于 或 等 于 前 
面 一 个 数 时 ， 则 前 面 的 一 个 数 即 为 所 求 。 显 然 ， 选 择 一 个 尽 可 能 接近 Yc 的 数 开 始 该 过 程 是 
一 个 很 好 的 选择 。 对 于 CLINT 对 象 值 c File :二 | logzc ] 总 会 有 | 2“**“] 二 yc， 并 由 前 文 所 
W, WW ARR ld 1() 方 便 地 计算 出 e 和 | 2”“““] 。 算 法 如 下 。 
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2) & ye|(r+n/xz)/2]. #y<r, I ray 并 重复 步骤 2。 


3) 输出 工 并 结束 算法 。 





该 算法 的 正确 性 证 明 并 不 非常 复杂 。x 单调 递减 并 始终 为 正 ， 所 以 算法 一 定 会 结束 。 
当 满 足 y= 二 L(x 十 n/x)/2」 宇 x 时 算法 结束 。 可 以 假设 x 宇 r 十 1， 而 由 rrt, A r >n 
或 天 一 好 < 二 0。 

但 是 ， 


9 一 均一 erate | 一 一 [E> | <0 
2 2x 


这 与 算法 的 结束 条 件 相 矛盾 。 于 是 之 前 的 假设 x 三 r 十 1 就 是 错误 的 ， 因 此 必 有 =r. FA 
用 于 确定 平方 根 整 数 部 分 的 图 数 对 操作 数 y<-[L(zx 十 n/x)/2 1 使 用 带 余 数 除 法 是 有 效 的 。 





: CLINT 对 象 平方 根 的 整数 部 分 
: void iroot 1(CLINT ñ 1,CLINT floor 1); 
: n 1( 操 作 数 二 0) 
: floor 1(n 1 的 整数 平方 根 ) 
void 
iroot 1 (CLINT n 1, CLINT floor 1) 
{ 


CLINT x Ty yl; £15 
unsigned 1; 
使 用 函数 1d 1 () 和 移 位 操作 将 i 赋值 |[(| log (Cn 1)j 十 2)/2」， 而 使 用 setbit 1() 可 以 
将 y 1 WA 2°. 
1 = (ld l (hl) +1) 23 
SETZERO L (y 1); 
setbit 1 (y 1, 1); 
do 
{ 
cpy_l (x_l, y 1); 
第 2 步 和 第 347, Newton 逼近 法 和 检查 算法 结束 。 
divi th by Xs Bas BD: 
add 1 (yl; x1, ylis 
shr 1 (y_1); 
} 
while (LT L (y_l, x_1)); 
cpy L {floor 1, x 1); 
} 
该 过 程 的 推广 可 以 用 来 计算 n 的 5 次 根 的 整数 部 分 ， 例 如 [和 ]， 其 中 >10 CrPa] 
第 3 页 )。 


计算 b 次 根 整数 部 分 的 算法 


1 ) 今 | iar n) o| x 


2) & y= LOCb—- Dat n/a’ '])/b]. #y<r, N rey 并 重复 步骤 2, 
3) 输出 结果 工 并 结束 算法 。 





#10 #ž KKK BHR 117 


实现 该 算法 时 在 步骤 2 中 对 a CE EA TEE Nox RR o 


CLINT 对 象 n 1 的 6b 次 根 的 整数 部 分 
int introot_1(CLINT n 1, USHORT B, CLINT floor 1); 


m 1]、b( 操 作 数 s, b>0) 
floor 1(n 1 的 6 次 根 的 整数 部 分 ) 





int 
introot 1 (CLINT n 1, USHORT b, CLINT floor 1) 
{ 
CLINT x 1 y_1, zl, junk l, max 1; 
USHORT 1; 
if (0 == b) 
{ 
return -1; 
} 
if (EQZ L (n_1)) 
{ 
SETZERO_L (floor 1); 
return E CLINT OK; 
} 
if (EQONE L (n_1)) 
{ 
SETONE L (floor 1); 
return E_CLINT OK; 
} 
if (å == b) 
{ 
assign 1 (floor 1, n_1); 
return E CLINT OK; 
} 
if (2 == b) 
{ 


iroot 1 (n 1, floor 1); 
return E CLINT OK; 
} 

/* step is set x 1a grate] #7 
setmax 1 (max 1); 
l = ld 1 (n_1)/b; 
if (1*b != ld 1 (n 1)) ++1; 
SETZERO L (x_1); 
setbit_1 (x 1, 1); 
/* step 2: loop to approximate the root until y 1 > x 1 */ 
while (1) 


{ 
umul 1 (x 1, (USHORT)(b-1), y 1); 
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umexp 1 (x 1, (USHORT)(b-1), z 1, max 1); 
div 1 (ni, zi, 21, junkl) 
add 1 (y_l, zl, yI); 
udiv 1 (y 1, b, y 1, junk_1); 
if (LT L (y L *1)) 
{ 
assign 1 (x 1, y1} 


cpy_1 (floor 1, X D); 
return E CLINT OK; 
} 
为 了 判断 一 个 数 n 是 否 为 一 个 数 的 b 次 根 ， 将 introot_1() 的 输出 进行 次 客运 算 并 
与 2 的 和 次 寡 进 行 比 较 即 可 。 假 如 这 两 个 值 不 相等 ， 则 显然 不 是 一 个 根 。 当 然 ， 这 并 不 
是 计算 方 根 最 快 的 方法 。 在 很 多 情形 下 ， 有 其 他 的 标准 可 以 用 来 识别 这 些 数 不 是 方 根 ， 并 
且 不 用 计算 平方 根 或 者 平方 运算 。LCohej 中 就 给 出 了 这 样 一 个 算法 。 它 使 用 4 个 表 ，911、 
q63、g64 和 965， 其 中 是 模 11、 模 63、 模 64 和 模 65 的 二 次 剩余 用 “1” 标 识 ， 而 二 次 非 
剩余 则 用 “0 ”标识 : 
qll[k] < 0,k = 0,-,10, gllLk® mod 11]<1,k = 0,.,5 
q63[k] <— 0,k = 0,°*,62, g63Lk° mod 63]<1,k = 0,°*,31 
q64[k] < 0,k = 0,°**,63, q64Lk? mod 64] <1,k = 0,°+,31 
g65[k]<0.k = 0,°**,64, q65Lk° mod 65] <1,k = 0,°**,32 
从 作为 完全 最 小 剩余 系 的 剩余 类 环 表 示 可 以 看 出 用 该 方法 获得 所 有 的 平方 数 。 


判断 整数 n 二 0 是 否 为 平方 数 的 算法 ， 并 输出 n 的 平方 根 ( 见 LCohej] 算 法 1.7.3) 

1) A ten mod 64。 若 g64[t|] 二 0， 则 n 不 是 平方 数 并 结束 算法 。 否 则 令 r-n mod 
Cll = 63e 65), 

2) Æ g63[r mod 63]= 二 0， 则 nn 不 是 平方 数 并 结束 算法 。 


3) 若 q65[r mod 65] 二 0， 则 nn 不 是 平方 数 并 结束 算法 。 

4) #qll[r mod 11]=0, A) n 不 是 平方 数 并 结束 算法 。 

5) 使 用 函数 iroor 10H# q<lvnl. HQAn, Wn KAFFRKRHARHE. F 
则 ，n 是 平方 数 并 输出 平方 根 g。 





该 算法 中 出 现 的 特定 常数 使 算法 显得 有 些 突 无 。 但 是 ， 反 过 来 却 是 可 以 理解 的 : 一 个 
Bn 对 于 任意 整数 & 都 是 整数 中 的 平方 数 ， 则 模 & 一 定 是 平方 数 。 前 面 已 经 使 用 过 它 的 道 
否 命题 : Ain NER k 的 平方 数 ， 则 它 在 整数 中 也 不 是 平方 数 。 通 过 使 用 前 面 算 法 中 的 步 
又 1 到 步骤 4 可 以 判断 是否 为 模 64、 模 63、 模 65 或 模 11 的 平方 数 。 模 64 中 有 12 个 平 
方 数 ， 模 63 中 有 16 个 平方 数 ， 模 65 中 有 21 个 平方 数 ， 模 11 中 有 6 个 平方 数 ， 因 此 4 步 
以 后 一 个 数 不 是 平方 数 而 没有 被 确定 的 概率 为 
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(1-64) (1 g3)(1~ a5) (2-11) = ga * 63 65 * 11771 


只 有 在 如 此 较 小 概率 下 才 执 行 步骤 5。 如 果 测 试 的 结果 是 肯定 的 ， 则 nn 就 是 一 个 平方 
BF AL n 的 平方 根 也 可 以 确定 。 在 步骤 1 到 步骤 4 中 被 测试 到 的 顺序 由 相互 独立 的 概率 决 
定 。 本 书 在 6. 5 节 中 已 经 预言 下 面 的 函数 可 以 排除 作为 模 p 的 原 根 的 候选 值 的 平方 。 


功能 : 判断 一 个 CLINT 数 n 1 是 否 为 平方 数 
语法 : unsigned int issqr 1(CLINT n l, CLINT r 1); 
输入 : n 1( 操 作 数 Ss, b>0) 


输出 : r lin 1 的 平方 根 ; 或 若 n 1 不 是 平方 数 时 ， 为 0) 
返回 : ls 如 果 1 为 平方 
0， 否 则 





static const UCHAR q11[11]= 
{44 0, 2, 2, 2,:0,0,.0, 1, OF; 


static const UCHAR q63[63]= 
{1, 1, 0; 0; 4;:0,'0, 1,0, 1, 0, 0; 0,'0; 0, 0; 1; 0; 1; 0,'0,:0; 4, 
6,0, 1, 0; 0, 2,0,.0, 0, 0, 0, 0; 0, 4, 1,0,.0, 0, 0, 0, 1, 6,:0, 
1.6, 0, 1, 0, 0,'0,.0,/0, 0, 0, 0, L000 6}; 
static const UCHAR q64[64]= 
11,1, 0, 0, 1, 0;'0;.0,.0,.1, 0; 0, 0,0, 0,0,4, 1, 0, 0; 0;:0,;0; 
0,0, 4, 0, DL 0,0,'0, 0, 0, 1, 0, 0, 1,.0,0,,0, 0, 2, 0, Ds QD 
6, 0,0, 1, 0, 0,:0,:0,:0, 0, 0, 2, 0, 0,:0,:0, 0, 0}; 
static const UCHAR q65[65]= 
{2.,1, 0; 0, 1, 0, Oy 0; 05.4, 1, 0, 0, 0, 1,0, :1, 0; 0, 0; 0 55 
6, 0,2, 4, 0; 0, 1, 2, 0,0, 0, 0, 1, 1,0,0, 1,4, 0, 6, 6, 0;:0, 
00:0; 1; 0, 2, 0,:0,.0, 45.4, 0; 0, 6,0, 1,:0,0, 1}; 
unsigned int 
issqr 1 (CLINT n 1, CLINT r_l) 
{ 
CLINT q 1; 
USHORT r; 
if (EQZ L (n_1)) 
{ 
SETZERO 上 (r_1); 
return 1; 
} 
q64[n_ 1 mod 64j] 的 情形 。 
if (1 == q64[*LSDPTR_L (n 1) & 63]) 
{ 
r = umod 1 (n 1, 45045); /* n 1] mod (11-63-65) */ 
if ((1 == q63[r % 63]) && (1 == q65[r % 65]) && (1 == qii[r % 11])) 
注意 前 面 表达 式 的 求解 从 左 往 右 依次 进行 ， 参 见 LHarbj7.7 7. 
{ 
iroot 1 m l; x 13s 
sor l (r J, gl); 
if (equ_l én l, q_1)) 
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{ 


return 1; 


} 
} 
} 
SETZERO L (r_1); 
return 0; 


} 


10.4 剩余 类 环 中 的 平方 根 


现在 已 经 能 计算 所 有 数 的 平方 根 或 者 平方 根 的 整数 部 分 ， 接 下 来 将 关注 剩余 类 ， 即 在 
剩余 类 中 计算 平方 根 。 在 一 些 假 设 和 限定 下 ， 剩 余 类 环 中 存在 平方 根 ， 尽 管 在 大 多 数 情 况 
下 这 些 平方 根 并 不 唯一 确定 ( 即 一 个 元 素 可 能 存在 多 个 平方 根 )。 用 代数 的 方法 描述 ， 该 问 
题 即 确定 对 于 一 个 元 素 a&€ Zn, AERO. HEE =a. RI POLARS 章 )， 这 包含 
在 同 余 概念 中 。 于 是 问题 就 变 成 二 次 同 余 =a mod m 是 否 有 解 ， 若 有 解 ， 则 解 是 什么 。 

若 gecd(a, m)=1 HÆTTE b; 使 得 天 三 c mod m, M) a 就 称 为 一 个 模 m 的 二 次 剩余 。 
若 对 该 同 余 没有 解 ， 则 称 a 为 模 m 的 二 次 非 剩 余 。 藻 0 是 同 余 的 一 个 解 ， 则 显然 b+m 也 
是 ， 于 是 只 需要 考虑 与 模 mm 不同 的 剩余 即 可 。 

可 以 举 个 例子 来 说 明 : 因为 3 三 9 二 2(mod 7)， 所 以 2 是 模 7 的 二 次 剩余 ， 而 3 是 模 5 
的 二 次 非 剩 余 。 

当 m 是 素数 时 ， 判 断 一 个 数 是 否 为 模 m 的 平方 根 就 变 得 很 容易 了 ， 在 下 一 章 中 将 介 
绍 相应 的 函数 。 但 是 ， 计 算 一 个 模 合 数 的 平方 根 则 取决 于 是 否 知 道 这 个 数 m 的 素数 分 解 。 
若 不 知道 这 个 合 数 的 素数 分 解 ， 则 求解 该 大 整数 m 的 平方 根 就 是 在 NP 复杂 度 类 ( 见 第 6 章 ) 
中 的 数学 困难 问题 了 ， 而 正 是 这 种 计算 复杂 度 水 平 保证 了 现代 密码 系统 的 安全 性 ?。 在 
10. 4.4 节 中 有 更 多 解释 的 例子 。 

判断 一 个 数 是 否 为 一 个 二 次 剩余 与 计算 某 个 数 的 平方 根 是 两 个 不 同 的 计算 问题 ， 且 有 
各 自 不 同 的 算法 ， 接 下 来 的 章节 将 给 出 解释 和 实现 。 首 先 考虑 判断 一 个 数 是 否 为 一 个 给 定 
模 数 的 二 次 剩余 的 过 程 。 然 后 计算 模 素 数 的 平方 根 ， 最 后 给 出 计算 合 数 的 平方 根 的 方法 。 


10.4.1 Jacobi 符号 
本 节 的 内 容 以 一 个 定义 开始 : 设 pA 是 一 个 系数 ，a 是 一 个 整数 ，Legendre 符号 
(5 ORME “ah p38 LY a 是 模 p 的 二 次 剩余 时 该 符号 的 值 为 1， 而 当 a BE pH 


次 非 剩 余 时 该 符号 的 值 为 一 1。 当 p 能 整除 a 时 ， 则 (分 ) 一 0。 从 定义 来 看 ，Legendre 符 


号 并 没有 多 大 用 处 ， 因 为 为 了 知道 这 个 符号 的 值 必须 先 判 断 a 是 否 为 模 p 的 一 个 二 次 剩 
余 。 但 是 ， 可 以 对 Legendre 符号 进行 计算 并 确定 其 值 。 SAT IE AGA Hes SCE HF 
景 。 关 于 这 个 ， 读 者 可 以 参阅 LBund]3.2 节 。 但 是 ,3 这 里 将 引用 一 些 性 质 以 使 读者 能 对 
Legendre 符号 的 计算 有 一 个 基本 的 了 解 : 


O ”数学 和 密码 学 复杂 度 之 间 的 模拟 应 该 注意 在 [ Rein | 中 给 出 了 PANP 是 否 成 立 都 与 密码 学 的 实际 应 用 无 
关 。 一 个 因子 分 解 的 多 项 式 算 法 的 时 间 复 杂 度 为 O(n”*”)， 即 使 对 相对 较 小 的 数 nn 来 说 ,运算 也 是 不 可 容忍 
的 。 而 寡 运 算 算 法 的 时 间 复 杂 度 为 O(e"” ) 可 以 应 付 即使 很 大 的 模 数 。 密 码 学 过 程 的 安全 性 事实 上 并 不 完 
全 取决 于 P 和 NP 是 否 相 同 ， 尽 管 读 者 可 能 经 常 精确 地 看 待 这 个 公式 。 
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1) 同 余 方 程 r =almod p) 解 的 个 数 为 |S} 
2) KE p 的 二 次 剩余 的 个 数 和 二 次 非 剩 余 的 个 数 是 相等 的 ， ABAD p—1)/2%. 


3) a=b(mod p)>(4)=(4). 


4) Legendre 符号 满足 乘法 律 Fn 
By (s)=0. 


6) ae MA ) mod p) (Euler 准则 )。 


D 对 于 一 个 奇 素数 g，g 关 p， mia (2) =(—1 ere 4 (F) (Gauss 二 次 互 反 律 )。 
= ý a Cp —1)/8 LY 

i 1) `、 (5) (—1j° . (5) 1 

EX Legendre 符号 性 质 的 证 明 可 以 在 标准 的 数论 参考 资料 中 找到 ， 例 如 LBund | 或 


[ Rose |. 

由 上 述 性 质 立 刻 可 以 想到 计算 Legendre 符号 的 两 个 想法 : 可 以 使 用 Euler 准则 b) X 
计算 a"* (mod p)。 该 算法 需要 一 次 模 知 运算 (计算 复杂 度 为 ollog’p))。 利 用 互 反 律 ， 
可 以 执行 如 下 的 递归 过 程 ， 该 过 程 基 于 性 质 3)、4)、7) 和 8)。 


计算 整数 a 和 奇 素数 p 的 Legendre 符号 (了) 的 递归 算法 


1) 如 果 a= 二 1， ml (7) =1 Ce a 8)). 


2) 如 果 a 是 偶数 ， 则 ($ )= ciso (22) cae 4) 和 8))。 


3) wRaAl 并 且 4 二 gi…gi 为 奇 素数 gl，…，gi 的 乘积 ， al (5) = 





对 每 个 i 使 用 步骤 1 到 步骤 3 HA (F) =D nes (BOE 3), 4) #6). 


在 考虑 计算 Legendre 符号 所 需 的 编程 技术 之 前 ， 首 先 需要 考虑 能 在 无 素数 分 解 的 情 
况 下 执行 的 泛 化 。 例 如 上 述 性 质 7) 的 互 反 律 直 接应 用 所 需 的 编程 技术 ， 因 为 对 于 大 整数 运 
算 需 要 大 量 的 时 间 ( 如 10. 4. 3 节 的 因子 分 解 问题 ) 。 对 于 该 问题 ， 可 以 使 用 非 递 归 过 程 : 对 
于 整数 a 和 整数 b= p poops HP p PUE A]. Jacobi 符号 (或 Jacobi-Kronecker, Kro- 


necker-Jacobi, Kronecker 符号 ) ( ry ) 定 义 为 Legendre 符号 fa ) 的 乘积 : 


ce Ue 
其 中 
«i. P a 是 偶数 
(2) -i pe WS 4 是 奇数 
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为 了 完备 性 ， 对 于 所 有 的 a€ 乙 ， 定 义 (和 全) =L Ha=41, HWS) :一 1; BM) =o. 


Ab AA A RCA & 王 1)， 则 Jacobi 符号 和 Legendre 符号 的 值 就 相同 。 此 时 ， 
Jacobi(Legendre) 符 号 表明 a 是 否 为 模 5 的 二 次 剩余 ， 即 是 否 存在 一 个 整数 c 使 得 c 二 


a mod b, 若 存在 则 (到 )=1, 否则 (区 ) 一 一 1( 或 者 假若 a=0 mod b, il (=-)=0). Æ b 
FERKA R>1), M4 AMY gedla, b)=1 时 ，a 为 模 b 的 二 次 剩余 ， 且 a 为 模 b 的 所 
有 因子 的 二 次 剩余 ， 即 对 于 的 所 有 因子 的 Legendre 符号 (二 ) (i 一 1， …，A&) 的 值 都 为 1。 


显然 Jacobi 符号 (去 ) 的 值 为 1 的 情形 就 不 同 了 : 因为 同 余 方程 1 =2 mod 3 无 解 ， 所 以 有 


(S)=-1. fue, dt xgn(2)=(2)(2)=1, Ree MAW z =2 mod 9 依然 


FETA. AW. BA ()=—1, Wa 无 论 如 何 都 是 模 4 的 二 次 非 剩余 。 而 等 式 


[全 )=0 也 就 等 价 于 ecd(a, 0b) 关 1。 


€ C 


D (Ż)-(E)(Ż) amw- cto, su(2)=($ 


2) a=c mod da 


3) 对 于 奇数 0 之 0， ea a (4)= (一 DY-pA， (去 )=1( 见 前 面 的 
性 质 8))。 

4) 对 于 奇数 a、5， 其 中 50， 有 互 反 律 ( 见 前 面 的 性 质 es 

从 Jacobi 符号 的 性 质 ( 证 明 参 考 前 面 提 到 的 参考 文献 ) 可 以 获得 如 下 的 Kronecker 算 
法 ， 该 算法 采用 LCohejl.4 节 ， 以 非 递 归 方 式 计 算 两 个 整数 的 Jacobi 符号 (或 根据 条 件 限 
tl, Æ Legendre 符号 )。 该 算法 考虑 了 2 的 一 个 可 能 的 符号 ， 为 此 对 所 有 的 >0 设 


(= :一 1; 而 所 有 的 a<0, 设 (二 ) :一 一 1] 。 


计算 两 个 整数 a, b 的 Jacobi 符号 (4 ) 的 算法 

1) 车 8=0， 则 当 wa 的 绝对 值 |a | 为 1 时， 输出 1; 否则 ,输出 0 并 结束 算法 。 

2) 若 a、5 都 为 偶数 ， 则 输出 0 并 结束 算法 。 否 则 令 v<-0， 只 要 5b 为 偶数 就 执行 ve 
v 十 1 和 b<-b/2。 此 时 车 vv 为 偶数 ， 则 令 有 <-]， 否 则 令 <-( 一 1)“-08， 若 5 二 0， 则 
令 b<—b, # a<0 则 令 有 <- 一 k( 参 见 性 质 3))。 


3) #a=0, Bb>1 则 输出 0， 否 则 输出 并 结束 算法 。 否 则 令 v<-0， 并 且 只 要 a 为 偶 
数 就 执行 veut] 和 a<-a/2。 此 时 若 v 为 奇数 ， 则 令 < 一 (一 1)®“-?/8。 (参见 性 质 
3)2. 

4) & k<e(—1)@ POV" ek, rajal, axbmodr, ber, KE BAFRZIARE 
质 2) 和 性 质 4) ) 。 
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该 过 程 的 执行 时 间 是 oog’ N), HEP Na, b ma, b WEA. AM FHA Euler 
准则 ， 该 算法 有 长 足 的 改进 。 下 面 的 算法 实现 方面 的 建议 可 以 参考 LCohej1. 4 市 。 

e 在 步 又 2 和 步骤 3 中，( 一 1)“ -24 和 (一 1)% -54 最 好 通过 预先 准备 好 的 表 来 计算 。 

e 在 步骤 4 中 ，( 一 1)“ 526 244。& 的 值 可 以 由 C 表 达 式 if (agbg2)k= - k 来 计算 ， 

其 中 & 为 按 位 与 运算 。 

这 两 种 情况 都 能 避免 进行 寡 运 算 ， 这 样 显 然 可 以 有 效 地 缩短 算法 的 整个 运行 时 间 。 

从 如 下 的 考虑 开始 理 清 第 一 个 建议 : 假若 步骤 2 中 的 人 需要 被 赋值 为 (一 1)“ O, W 
a 就 是 一 个 奇数 。 同 理 ， 步 又 3 中 的 5 也 是 。 对 于 奇数 a， 有 

2|(a 一 1) 和 4|(a 十 1) 
或 者 
4|(a—1) f 2|(a+1) 

因此 8 能 整除 (a 一 1) (a 十 1)==a? 一 1。 于 是 (一 1)*“-?% 就 是 一 个 整数 。 另 外 ，( 一 1)“-?% 二 
(一 1) 必 mds -0/8( 这 可 以 看 作 指数 中 的 表达 式 a=k e 8 十 r+)。 于 是 指数 就 仅仅 取决 于 4 个 
值 a mod 8= +1 和 士 3， 其 结果 为 1、 一 1、 一 1 和 1。 可 以 将 该 结果 放 在 一 个 数组 中 {0， 
ls Qs — 1 Oe ~lr Ge Ija 于 是 通过 计算 a mod 8 就 可 以 获得 (一 1)“ 0% 的 值 。 观察 可 
得 a mod 8 又 可 以 用 ag7 代替 ， 这 里 & 依然 是 按 位 与 运算 ， 于 是 寡 运 算 就 简化 为 快 得 多 的 
CPU 操作 。 为 了 理解 第 二 个 建议 ， 可 以 看 到 当 且 仅 当 (e 一 1)/2 与 (6 一 1)/2 的 结果 都 为 奇 
数 ， 也 就 是 (a 一 1) (6 一 1)/4 为 奇数 时 ， 有 (eg&pg&2) 天 0。 

最 后 ， 可 以 使 用 辅助 函数 twofact_1 () 来 确定 步骤 3 P b 为 偶数 时 ww” 和 < 的 值 ， 同 
H, PRS 中 wv 和 6 的 值 ， 这 里 简单 介绍 该 函数 。 函 数 twofact 1 () 将 一 个 CLINT 值 分 解 
为 包含 2 的 寡 和 一 个 奇数 的 乘积 。 


: 将 一 个 CLINT 数 分 解 为 a=2u, Pui 
: int twofact_1(CLINT a 1,CLINTb 1); 


: a 1( 操 作 数 ) 
: b l(a 1 的 奇数 部 分 ) 
: ka 1 两 部 分 中 以 2 为 底 的 指数 ) 





int 
twofact 1 (CLINT a 1, CLINT b 1) 
{ 
int k = 0; 
if (EQZ L (a 1)) 
{ 
SETZERO L (b 1); 
return 0; 
} 
coy 1 (6.1, a ly; 
while (ISEVEN 上 (b 1)) 
{ 
shr_1 (b 1); 
++k; 
} 
return k; 


} 
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有 了 上 面 的 辅助 函数 ， 就 可 以 构造 一 个 高 效 的 昂 数 jacobi 1 () 来 计算 Jacobi 符号 了 。 


: 计算 两 个 CLINT 对 象 的 Jacobi 符号 
: int jacobi 1(CLINT aa 1,CLINT bb 1); 


: aa l, bb 1( 操 作 数 ) 
: t1(aa_l * bb 1 的 Jacobi 符号 的 值 ) 





static int tab2[] = 0, 1, 0, -1, 0, -1, 0, 1; 
int 
jacobi 1 (CLINT aa 1, CLINT bb 1) 
{ 

CLINT al, b l; tmp 1; 

long int k, v; 
第 1 步 : bb 1=0 的 情形 。 
if (EQZ L (bb 1)) 

{ 

if (equ 1 (aa 1, one 1)) 
{ 


return 1; 
} 
else 
{ 
return 0; 
} 
} 
#27: ER bb 1 中 的 偶数 部 分 。 
if (ISEVEN 上 (aa_1) && ISEVEN L (bb 1)) 
{ 
return 0; 
} 
cpy 1 (al, aa 1); 
cpy 1 (b 1, bb 1); 
v = twofact 1] (b l, b 1); 
if ((v & 1) == 0) /* v even? */ 


{ 
k = 1; 
} 
else 
{ 
k = tab2[*LSDPTR_L (a1) & 7]; /* *LSDPTR L (a 1) &7 == al % 8 */ 
} 


第 3 步 : #a 1I 王 0， 则 算法 结束 ; 否则 a 1 的 偶数 部 分 已 经 被 去 除 。 
while (GTZ L (a 1)) 
{ 
v = twofact 1 (a 1, a1); 
if ((v & 1) != 0) 
{ 
k = tab2[*LSDPTR L (b 1) & 7]; 
} 
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DAG: 应 用 二 次 互 反 律 。 
if (*LSDPTR_L (a 1) & *LSDPTR_L (b 1) & 2) 
{ 
k = -k; 
} 
epy 1 (tmp 1, a 1); 
mod 1 (b 1, tmp 1, a_l); 
cpy 1 (b 1, tmp 1); 
} 
if (GT L (b 1, one 1)) 
{ 


k = 0; 


} 
return (int) k; 


} 


10.4.2 È p 的 平方 根 


现在 已 经 知道 一 个 整数 是 否 为 模 另 一 个 整数 的 二 次 剩余 所 具备 的 相应 性 质 ， 并 且 已 经 
清楚 各 种 情况 下 所 应 采用 的 高 效 程序 。 但 是 ， 即 使 已 经 知道 一 个 整数 a 是 模 n HK 
余 ， 依 然 无 法 计算 a 的 平方 根 ， 尤 其 是 当 整 数 n 较 大 时 。 为 了 简单 起 见 ， 可 以 首先 从 nn 为 
素数 的 情形 开始 尝试 。 接 下 来 的 任务 就 是 解 二 次 同 余 方程 

x? =a mod p (10-11) 
其 中 ， 假 设 p 为 奇 素 数 ， 而 a 为 模 p 的 二 次 剩余 ， 这 样 可 以 保证 同 余 方 程 有 解 。 需 要 区 分 
p=3 mod 4 和 p=1 mod 4 这 两 种 情形 。 前 者 更 简单 : z :二 a mod p 是 同 余 方 程 的 
解 ， 因 为 


2 = (p+l)/2 
x’ =a? 


=a mod p, ZA Æ Legendre 符号 的 性 质 5)， 即 前 面 给 出 的 Euler 


= qa » a” * =a mod p (10-12) 
其 中 git Di = | 


准则 。 

根据 LHeid 我 们 有 如 下 考虑 ， 导 出 一 个 解 同 余 方 程 的 通用 过 程 ， 特 别 是 对 解 第 二 种 情 
形 的 同 余 方 程 ，p 寺 1 mod 4: 记 2 一 1 一 2g9， 其 中 A>1 且 9 为 奇数 。 然 后 观察 一 个 任意 的 
二 次 非 剩 余 n mod p， 其 中 为 选择 的 一 个 随机 整数 且 1 二 n 二 p， 同 时 计算 其 Legendre Ff 


号 ( 卫 )。 这 就 有 二 的 概率 使 得 其 值 为 一 1， 因 此 能 较 快 地 找到 这 样 的 n。 令 


YS |a 


xo =a P mod p 
yo =n" mod p 
(10-13) 
zo =a" mod p 
ro t=k 


H Fermat 小 定理 可 知 ， 对 于 余数 为 a 的 式 (10-11) 的 解 ， 有 qi? ile = Mh Ff} I 
1 mod p. RRt, FK EHR n An”? =—1 mod p, FRA: 


azo =x mod p 
ye? =— 1 mod p (10-14) 
22° ' =] mod p 


126 第 一 部 分 算术 与 数论 : C 实现 


如 果 zo=1 mod p, W ro 是 同 余 式 (10-11) 的 一 个 解 。 和 否则 ， 可 以 如 下 递归 定义 zi. y 
Ziv ris 使 得 
az; = x; mod p 
yr 三 一 1 mod p (10-15) 
z?" = 1 mod p 
Hpr ori. RS k BAMA z= mod p, Hr 是 式 (10-11) 的 一 个 解 。 最 后 选择 m 为 


满足 ze ” =] mod p 的 最 小 自然 数 ， 其 中 mSro— l1. 令 : 


T = nye T mod p 
yim = yi * mod p (10-16) 
Zi = aya mod p 


HE rai =m; *=min{m>1|z? =1 mod p}, FE 


= = gigi’ i Sary: ' =aze, mod p 
yun = oi = (y " yr a =— 1 mod p (10-17) 
— =i = Ca )” =— zx” = 1 mod p 
HPC" =z" =1 mod p， 所 以 只 有 可 能 是 满足 由 2" 三 一 1 mod p 的 m; 中 的 最 


小 值 。 
至 此 就 证 明了 一 个 解 同 余 方 程 过 程 的 正确 性 。 基 于 该 过 程 可 以 有 如 下 的 D. Shanles 算 
法 (参见 [Cohe | 算法 1.5.1), 


计算 一 个 整数 a 模 奇 素数 p 的 平方 根 算法 
1) 记 p—-1=2'g, HPQ 为 奇数 。 选 择 一 个 随机 数 n, a3\(4)=—1. 


2) & a<a’’”* mod p, y<-n' mod p, z<a* x mod p, x<-a * x mod p fe r-k, 

3) 如 果 z=l mod p， 则 输出 工 并 结束 算法 。 否 则 ， 了 寻找 满足 1 mod p 的 最 小 
的 m。 如 果 mm 二 r+r， 则 输出 信息 : a 为 模 p 的 二 次 非 剩 余 并 结束 算法 。 

4) tay? ” mod p, y<t: mod p, rem mod p, xXx<—x* t mod p, zez» 


y mod p 并 回 到 步骤 3。 





GBR, 若 工 是 同 余 方程 的 一 个 解 ， 则 一 工 mod p 也 是 一 个 解 ， 因 为 (一 zx)? 二 
ax’ mod b. 

在 如 下 的 实现 中 鉴于 需要 寻找 模 p 的 二 次 非 剩余 ， 可 以 从 2 开始 测试 每 一 个 自然 
数 的 Legendre 符 号 ， 以 便 在 多 项 式 时 间 内 找到 一 个 二 次 非 剩 余 。 事 实 上， 如 果 已 知 虽 
未 被 理论 证 明 的 扩展 Riemann 假设 成 立 ( 参 见 如 LBundj 7.3 $, Æ 12; 或 [Kobl] 
5.1 节 ;或 LKran] 2.10 节 )， 则 一 定 能 在 多 项 式 时 间 内 找到 这 样 的 二 次 非 剩 余 。 如 果 
在 某 种 程度 上 对 扩展 Riemann 假设 的 正确 性 持 怀疑 态度 ， 则 Shanks 算法 就 是 一 个 概 
率 性 的 算法 。 

在 构造 如 下 函数 proot 11() 的 实际 应 用 中 可 忽略 上 述 的 考虑 并 简单 地 认为 计算 时 
间 为 多 项 式 的 。 更 多 的 细节 请 参考 [| Cohe] 第 33 页 。 
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: 计算 a 模 p 的 平方 根 
: int proot_1(CLINT a 1,CLINT p 1,CLINT x 1); 


: al. p 1( 操 作 数 ，P 1 是 大 于 2 的 素数 ) 
: x l(a 1 模 p 1 的 平方 根 ) 
: 假 老 a 1 是 模 p 1 的 二 次 剩余 ， 则 返回 0; 否则 返回 一 1 





int 
proot 1 (CLINT a_l, CLINT p 1, CLINT x 1) 
{ 
CLINT 6.1, 41; tyh 
int r, m; 
if (EQZ_L (p 1) || ISEVEN L (p 1)) 
{ 


return -1; 
} 
如 果 a 1== 0， 则 结果 为 0。 
if (EQZ L (a 1)) 
{ 
SETZERO L (x 1); 
return 0; 
} 
第 1 步 ， 找到 一 个 二 次 非 剩 余 。 
cpy 1 (q_l, p_l); 
dec 1 (q 1); 
r = twofact 1 (q 1, q1); 
cpy_1 (z 1, two 1); 
while (jacobi 1 (z 1, p 1) == 1) 
{ 
ine 1 tz Tj; 
} 
mexp 1 (z_1, ql, zl, pl); 
第 2 步 : 递归 的 初始 化 。 
tpy 1 fy J, 2 1): 
dec 1 (q 1); 
shr_1 (q_1); 
mexp 1 (a_l, ql, x1, pD; 
msgr 1 (xl, b 1, pl); 
mmul_ 1 (b 1, al, b1, pl); 
mul 1 (x1, al, x1, pij 


第 3 步 : 结束 过 程 ; 否则 找到 满足 z* =1 mod p 的 最 小 的 m。 


mod 1 (b1, pl, q1); 
while (lequ 1 (q 1, one 1)) 
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++M; 
msqr 1 (a 1, ql, plj; 
} 
while (!equ 1 (q 1, one 1)); 
if (m == r) 
{ 


return -1; 
} 

HAD: tar, y, xfer 进行 递归 计算 。 
mexp2 1 (y_1, (ULONG)(r - m - 1), t 1, p1} 
msqr 1 (t lL y_l, pl); 
ew, Led, tT, i p12): 
mmul 1 (b 1, y 1, b 1, pl); 
cpy_1 (q_l, b 1); 


) J 
return 0; 
} 
现在 可 以 以 模 p WARNER FR AR BOK HE p” 的 平方 根 了 。 首 先 考虑 同 余 方 程 


x =a mod p° (10-18) 
所 给 出 的 方法 和 思路 : 给 定 一 个 前 面 同 余 方程 =a mod p RAR, WA 2 = 
rrp ” T29 就 有 


2 
ey ~ '@ 





x —a Sa2i—attpria + pri = pl 
于 是 可 以 将 式 (10-18) 的 求解 简化 为 解 x; 的 线性 同 余 
Xj 


—a 
=i = 0 mod 
r p 


递归 地 执行 该 过 程 可 以 在 有 限 步 以 后 得 到 任意 &E NN 的 同 余 方程 =a mod p* 的 一 个 解 。 


+ 22122 | mod p 


xe2z,+ 


10.4.3 fin 的 平方 根 


计算 模 素 数 次 才 的 平方 根 是 胃 着 解决 问题 的 方向 迈 出 的 重要 一 步 。 这 个 问题 就 是 更 一 
般 地 求解 一 个 合 数 n 的 同 余 方程 x 三 a mod 2。 当然， 首先 需要 说 明 的 是 求解 这 样 的 二 次 
剩余 通常 是 非常 困难 的 。 基 本 上 ， 该 问题 的 求解 需要 大 量 的 计算 时 间 且 其 计算 时 间 会 随 着 
模 数 n 的 增加 而 呈 指 数 增长 。 从 复杂 度 理论 的 角度 来 看 ， 同 余 方程 的 求解 与 对 整数 n 进行 
素数 分 解 的 难度 是 相当 的 。 这 两 个 问题 都 属于 NP 类 难题 (参见 第 6 章 )。 因 此 ， 模 合 数 的 
平方 根 的 计算 与 那些 还 未 发 现 多 项 式 时 间 算 法 解决 的 问题 难度 相当 。 因 此 ， 对 于 大 整数 n 
不 能 指望 在 一 般 情 形 下 找到 一 个 快速 的 解法 。 

尽管 如 此 ， 仍 然 有 可 能 通过 将 两 个 互 素 的 模 数 > 和 xs YT AR FE y =a mod r Fl z’ = 
a mod s 结合 起 来 以 获得 同 余 方程 x =a mod rs 的 解 。 这 里 需要 用 到 中 国 剩 余 定理 : 

给 定 同 余 方 程 组 t =a; mod m;, HYP ARA m, +. m 是 两 两 互 素 的 ( 即 
对 于 任意 的 ;天 J)， 有 gcd(m;, m;)=1), MATE% as +, a, 存在 一 个 该 方程 
组 的 公共 解 ， 并 且 该 解 模 这 些 自然 数 的 乘积 m + mom, 是 唯一 的 。 

接 下 来 将 花 一 些 时 间 考 虑 该 定理 的 证 明 ， 因 为 该 定理 中 本 身 就 包含 一 个 求解 的 有 效 方 
法 : Sm t=m, * mem, Wim, *=m/m,, W m, 是 一 个 整数 且 gcd(m,, m)=1,. HAH 
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10. 2 节 可 知 ， 对 于 j= 二 1，…，r， 存 在 整数 对 u; 和 w;， 使 得 1 二 miuj 十 mjv;。 问 题 在 于 如 
何 计 算 这 些 整数 。 
首先 构造 一 个 和 


Wy t= S) mi) uja, 
j=l 
由 于 等 式 miu; =0 mod m; X FIER iA; 都 成 立 ， 所 以 有 
Xo 三 了 = m_u,a; =a; mod m; (10-19) 


于 是 就 可 构造 该 问题 的 一 个 解 。 对 于 两 个 同 余 方 程 ro=a; mod m; Fl x, =a; mod m; 的 解 ， 
Axo =x, mod m;。 这 等 价 于 xo 一 z; 的 差 值 能 同时 被 所 有 的 mx; 整除 ， 也 就 是 可 以 被 m; 的 
最 小 公 倍 数 整数 。 由 于 m 之 间 是 两 两 互 素 的 ， 所 以 其 最 小 公 倍 数 就 是 所 有 m 的 乘积 。 因 
此 最 后 就 有 tox mod m 成 立 。 
现在 可 以 应 用 中 国 剩余 定理 来 解 同 余 方程 =a mod rs， 其 中 ged(r, s)=1, 而 + 和 

s 为 不 同 的 奇 素数 且 均 不 能 整除 a。 假 设 现 在 已 经 知道 方程 y =a mod r Fil z°=a mod s 的 
根 ， 则 可 以 用 如 上 方法 构造 一 个 解 满足 同 余 方 程 组 

x=ymodr 

x = z mod s 
其 中 ， 需 要 用 到 zu :二 (zur 十 yvs) mod rs, mM l=urtvs, FRA zi =a mod r H ri = 
a mod sy， 又 因为 gcdCr，) 王 1， 所 以 有 三 三 w mod rs。 至 此 就 找到 了 了 上述 二 次 同 余 方 程 的 
解 。 由 前 面 可 知 ， 模 x 和 模 s 的 二 次 同 余 方程 各 目 都 有 两 个 解 ， 即 士 y Ale, WBE rs 的 
同 余 方程 就 有 4 个 解 。 由 士 y 和 士 x 组成: 


Xo := zur + yus mod rs (10-20) 
Xi *=— zur — yus mod rs =— x mod rs (10-21) 
Ta :一 一 zur + yus mod rs (10-22) 
Xs := zur — yos mod rs =— zz mod rs (10-23) 


于 是 就 有 了 一 个 将 模 奇 数 n WY UK aR HTE r =a mod n 的 求解 转化 为 对 模 素 数 p 的 求 
解 。 为 此 需要 素数 分 解 ?二 加 … 并 计算 模 p; 的 根 。 于 是 可 以 通过 10.4.2 小 节 介 绍 的 
递归 得 到 同 余 方 程 x; 夺 a mod pt 的 解 ， 然 后 再 运用 中 国 剩余 定理 将 这 些 解 构造 成 方程 
x =a mod n 的 解 。 这 里 的 函数 正 是 为 解 同 余 方 程 x =a mod n 作 铺 垫 的 。 在 此 之 前 ， 需 
要 有 一 个 严格 的 假设 : n= p> gq 是 两 个 奇 素 数 p Ala 的 乘积 ， 并 计算 同 余 方程 

x’ = a mod p 

zi =a mod q 
的 根 zx Ars H oxi 和 zs 可 以 根据 前 面 的 方法 构造 同 余 方 程 

x =a mod pq 


的 根 ， 并 输出 模 pg 的 a 的 最 小 平方 根 。 


: 对 奇 素数 p 和 9g 计算 模 p，g 的 a 的 平方 根 
: int root 1(CLINT a_1,CLINT p 1,CLINT q 1,CLINT x 1); 


i x 14% pl*qlFalwmFAR) 
: 0， 假 若 a 1 是 模 p 1xq 1 的 二 次 剩余 
=i» 否则 
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int 
root 1 (CLINT a 1, CLINT p 1, CLINT ql, CLINT x_1) 
{ 
CLINT xO: l; Xi L; X2 l; x3 1, my xa hy not 
CLINTD u 1, v_l; 
clint pti I; 
int sign_u, sign_V; 
用 函数 proot 1() 计 算 模 p lH qlMFAR. RH al== 0， 则 结果 为 0。 
if (0 l= proot_1 ta 1; pl, xp.1) || 0 l= proot 1 (a_1, qi, xq_1)) 
{ 


return -1; 
} 
if (EQZ_L (a_1)) 
{ 
SETZERO L (x 1); 
return 0; 
} 
基于 中 国 剩余 定理 需要 考虑 因子 u 1 和 wv 1L 的 符号 ， 并 用 人 额外 的 变量 sign_u 和 
sign v 表 示 ， 而 这 两 个 值 是 由 函数 xgcd 11() 计 算 获得 。 这 一 步 的 结果 是 根 zo。 
mul 1 (p 1, ql, nl); 
xgcd 1 (p 1, q 1, x0 1, ul, &sign u, v1, &sign v); 
mul 1 (u_l, pl, ul); 
mul 1 (ul, xq1, ul); 
mul 1 (v_1, ql, v_1); 
mul 1 (v_l, xp 1, vl); 
Sign u = sadd (u_l, sign_u, v_l, sign v, x0 1); 
smod (xO 1, sign_u, nl, x01); 
现在 计算 根 x1. x2 和 za。 
sub 1 (n_l, XO x4 1); 
msub 1 (u I; v_l, x2_1, nl); 
sub 1 (n_l, x2_l, x3_1); 
将 最 小 的 根 作为 结果 返回 。 
xptr 1 = MIN L (x0 1, x1 1); 
xptr_ 1 = MIN L (xptr_l, x2 1); 
xptr 1 = MIN L (xptr_l, x3 1); 
epy 1 tx 1s xptr I); 


return 0; 


} 

由 此 可 以 将 前 面 函 数 的 代码 序列 扩展 为 多 个 同 余 方程 同时 满足 ， 并 以 此 简化 中 国 剩余 
定理 的 实现 。 这 样 的 处 理 过 程 由 如 下 算法 描述 ， 该 算法 由 Garner 给 出 (参见 LMOYV jj] 第 162 
页 )， 它 在 对 中 国 剩余 定理 的 应 用 方面 更 有 优势 。 因 为 相对 于 在 模 m 二 mms…m,， 模 mi 
运算 能 在 时 间 上 节省 很 大 的 成 本 。 


解 线性 同 余 方程 组 x=a; mod m;，1<i<r AX i~j 满足 ged(m;,, m;)=1 的 算法 1 


1) 令 uea, r<«-u 和 1<-2。 


Wy & Cals l 
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3) A u<-m,; ' mod m; (用 Euclidean 算法 计算 )C;<-uC mod Mii o 
4) A j<jt+l; 假 著 Jj 委 ;一 1， 则 回 到 步骤 3。 


i—1 


5) &u< (a; —2z)C; mod z; P x <— x+u[| |m, ä 


j=l 


6) 令 i<-i 十 1; 假若 ;i 委 r， 则 回 到 步骤 2。 否则 ， 输 出 工 。 





粗略 地 看 ， 该 算法 似乎 并 不 能 达到 所 期 望 的 结果 ， 但 事实 上 却 可 用 归纳 法 来 证 明 。 为 
此 令 r 一 2， 于 是 在 第 5 步 中 有 
x = ây + (Ca, —a;)u mod m:) mod m, 
于 是 就 有 r=a mod m. Ail, RNA 
x = a + (az — a,)m,(m, mod m,) = az mod mz 
从 > 到 > 十 1 直到 归纳 结束 ， 假 设 算法 能 对 某 个 r>2 返回 目标 值 z,， 然 后 追加 一 个 同 余 式 
x=a, mod 72。 然后 回 到 步骤 5 有 


] 


eS 2,7 (ey =a) [| mz") mod m,,,) ° [Erm; 
j=l j=l 
这 里 根据 假设 对 i=1, +, r PA r=r, =a; mod m;。 但 我 们 有 
x= T, + (ani — x) [| m; ° [mp = amn mod 772 -1 
j=l j=l 


至 此 该 证 明 就 结束 了 。 

由 于 在 程序 中 应 用 了 中 国 剩 余 定理 ， 所 以 函数 会 特别 有 用 。 因 为 它 不 再 依赖 于 事先 确 
定好 的 同 余 式 的 数目 ， 所 以 允许 在 执行 过 程 中 指定 同 余 式 的 数目 。 这 种 方法 采用 了 前 文 的 
构造 过 程 。 遗 憾 的 是 ， 该 过 程 并 不 具备 只 需 在 模 m 运算 的 优势 ， 但 它 仍 可 以 以 常数 级 的 
内 存 开销 来 处 理 同 余 方 程 组 的 参数 a; Alm, HP iSl, s+, r Mr 则 为 变量 。 这 样 的 解 
法 包含 在 如 下 的 算法 中 ， 该 算法 来 自 LCohej 1.3.3 节 。 


解 线 性 同 余 方程 组 x=a; mod m;, 1i<r BX i£j 满足 gcd(m; ， m;)=1 的 算法 2 
1) 令 i<1, mem, 和 rea. 


2) 假若 i 二 r+r， 则 输出 工 并 结束 算法 。 否 则 ，i<-i 十 1 并 对 1 二 wm 十 vm; 使 用 扩展 


Euclidean 算法 计算 ww 和 vw。 
3) 令 a<uma;+vm,x, m<mm,;, xxr mod m 并 回 到 步骤 2, 





如 果 为 3 个 方程 xz=a;modm;(i=1, 2, 3) 执 行 计 算 步 又 ， 就 能 立即 理解 该 算法 。 在 
步骤 2 中 ， 当 = 王 2 时， 有 


] = um, + vu,m, 


在 步骤 3 H, A 
tı = uma, + uv má, mod mm, 
在 循环 的 下 一 次 中 ， i=3 是 处 理 参数 a, 和 ms 。 在 步骤 2 中 有 
l = um + vm, = um m: + vm; 
在 步骤 3 中 ， 有 


Xz = Usmas t vm, xı mod mm, 


= U Mı M243 十 Uz M Ui Mı A2 十 U: Mz UiM QI1 mod Mı M M3 
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在 生成 模 my 的 剩余 T? 时 ， 被 加 数 U2 Mı M2 A3 和 vom; ui ma? 就 没有 了 ， 而 且 通 过 构造 
vm; =v m: =l mod mı, x,=a, mod m 就 是 第 一 个 同 余 方程 的 解 。 同 样 可 知 ，xzz 是 其 余 
的 同 余 方 程 的 解 。 

在 接 下 来 的 函数 chinrem 1() 中 ， 将 根据 中 国 剩余 定理 实现 构造 理论 归纳 变种 ， 该 图 
数 接口 允许 传递 同 余 的 变量 数 的 系数 。 为 此 需要 传递 一 个 由 偶数 个 指向 CLINT 对 象 的 指针 
HRR, EPRA ais Mm, dos m, az, m, “FEAR EH r=a; mod m; 的 
系数 。 由 于 同 余 方 程 组 =a; mod m, 解 的 数字 的 个 数 是 以 Sogn) 为 阶 的 ， 所 以 该 过 


程 由 于 依赖 于 同 余 方 程 的 个 数 和 参数 的 大 小 而 导致 容易 发 生 洲 出 。 因 此 ， 应 该 注意 这 样 的 
错误 并 将 错误 信息 作为 函数 的 返回 值 返回 。 


: 用 中 国 剩余 定理 解 线 性 同 余 方程 组 

: int chinem 1(int noofeq,clint = * coeff 1,CLINT x_1); 

: noofeq( 同 余 方 程 的 个 数 ) 
coeff 1( 指 向 同 余 方程 组 r=a; mod m,, i 二 1]，*…，noofeq 的 系数 CLINT 
a; fo m; 的 指针 数组 ) 


: x 1( 同 余 方程 组 的 解 ) 

: EE CLINT OK， 如果 成 功 
E CLINT_ OFL， 如 果 溢 出 
1, #R noofeg A 0 
2, wR mi 不 是 两 两 互 素 





int 
chinrem 1 (unsigned int noofeq, clint** coeff 1, CLINT x 1) 
{ 
clint Sai L, “ial; 
CLINT ¢ 1, ul, Vi, aly 
unsigned int i; 
int sign u, sign V sign x, err, error = E CLINT OK; 
if (0 == noofeq) 
{ 
return 1; 
} 
初始 化 : 输入 第 一 个 同 余 方程 的 系数 。 
cpy 1 (x_l, *(coeff_1++)); 
cpy 1 (m1, *(coeff_1++)); 
假若 还 有 其 他 的 同 余 方程 ， 即 如 果 no of eq> 1， 则 剩 下 的 同 余 方程 的 参数 继续 该 运 
算 。 假 车 mi 1 与 前 面 乘 积 m_ 1 中 的 模 数 不 互 素 ， 则 函数 结束 并 且 将 2 作为 错误 码 返回 。 
for (i = 1; i < noofeq; i++) 
{ 
ai l = *(coeff_1++); 
mi 1 = *(coeff_1++); 
xgcd 1 (m1, mi 1, gl, ul, &sign u, vl, &sign v); 
if (!EQONE L (g 1)) 


{ 


return 2; 


} 


下 面 的 程序 记录 了 溢出 错误 。 在 程序 的 最 后 ， 


err = mul 1 (u 1l, ml, u 1l); 
if (E_CLINT_OK == error) 

{ 

error = err; 

} 
err = mul l (u l; ai_l, ul); 
if (E_CLINT OK == error) 

{ 


error = err; 
} 
err = mul 1 (v 1, mil, vl); 
if (E_CLINT OK == error) 
{ 


error = err; 
} 
err = mul l (v l; x1; vl); 
if (E_CLINT_OK == error) 
{ 


error = err; 


} 
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返回 状态 由 存储 在 error P HRY 


辅助 函数 sadd() f s mod() PA ARRE ul fev 1 的 符号 sign u 和 sign v. 


sign x = sadd (u_l, sign u, v 1, sign v, x 1); 
err = mul 1 (m1, mi l, m1); 
if (E CLINT OK == error) 


{ 
error = err; 
} 
smod (x 1, sign x, m 1, x l); 
} 
return error; 


} 


10.4.4 基于 二 次 剩余 的 密码 学 


本 小 证 将 介绍 二 次 剩余 及 其 根 在 密码 学 应 用 方面 的 有 趣 例子 。 为 此 首先 介绍 Rabin 加 


wet FE. SANG PA Fiat 和 Shamir 认证 方案 2 。 


1979 4F, Michael Rabin 发 表 的 加 密 过 程 ( 见 [LRabij]) 正 是 基于 在 Z, 上 计算 平方 根 的 


O ”8 非 对 称 加 密 的 基本 概念 ， 参 见 第 17 章 。 


困难 性 上 。 其 最 重要 的 属性 是 可 以 证 明 其 计算 复杂 度 等 同 于 素数 分 解 问题 (参见 [Kran] 
5.6 让 )。 由 于 对 于 加 密 而 言 该 过 程 只 需要 在 模 n 下 进行 平方 ， 所 以 这 是 易于 实现 的 ， 如 下 
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Rabin 密 钥 生成 


1) A 生成 两 个 大 素数 pq Hitt Hn=p- gq. 
2) A 将 nn 作为 公 角 公开， 并 将 二 p，g 对 用 作 私 钥 。 





B 可 以 用 公 钥 na 对 明文 消息 ME Z, 以 如 下 方式 进行 编码 (加 密 ) 并 发 送 给 A。 


Rabin 加 密 
1) 也 用 函数 msaqr 1 QH # C:=M mod na 并 将 加 密 后 的 文本 C 发送 给 A。 


函数 root 1()。 这 里 进行 适当 的 修改 使 得 除了 最 小 的 根 以 外 ， 其 他 3 个 根 也 
作为 函数 的 输出 ” 。 其 中 的 一 个 根 就 是 明文 M。 





A 现在 的 问题 是 确定 这 4 个 根 M; 中 到 底 哪 个 才 是 明文 M。 和 在 B 在 对 消息 进行 编码 之 
前 加 入 以 下 元 余 信息 ， 例 如 将 最 后 7 位 重复 一 次 ， 并 将 此 通知 给 A, ABA A 就 可 以 顺利 地 
选择 正确 的 明文 ， 因 为 男 一 个 根 恰好 也 有 这 样 特征 的 概率 微乎其微 ，。 

同时 ， 元 余 也 能 防止 如 下 针对 Rabin 过 程 的 攻击 : 假 寿 一 个 攻击 者 X 选择 一 个 随机 数 
RE ZX 并 且 可 以 从 A 获得 方程 X :一 Rs mod ny 的 一 个 根 R,( 不 论 他 如 何 说 服 A 并 获得 该 
消息 的 ) WW RAR mod na 的 概率 依然 有 1/2. 

HE, H na=p q| CR?—R’)=(R;—R)(R;+R)40 BA, 1Aged(R—R;, na) € 
(ps gh,» WHA X 就 可 以 通过 分 析 na 来 破解 该 密码 (参见 LBres」 5.2 节 )。 另 一 方面 ， 
蔡明 文中 带 有 元 余 ， 则 A 始终 能 分 辨 出 哪个 根 代 表 了 合法 的 明文 。 于 是 最 多 只 有 A 能 恢 
复 R( 假 设 R 的 格式 是 正确 的 )， 而 攻击 者 X 却 得 不 到 任何 有 用 的 信息 。 

在 现实 世界 中 ， 使 用 该 过 程 的 一 个 必要 条 件 是 ， 能 防止 其 他 用 户 有 意 或 无 意 地 访问 代 
表明 文 信息 的 根 。 

接 下 来 基于 二 次 剩余 密码 学 应 用 的 例子 是 ，1986 年 Amos Fiat 和 Adi Shamir 提出 的 
关于 认证 的 方案 。 该 过 程 在 与 智能 卡 连接 的 应 用 中 特别 适用 。 其 方法 为 : 令 工 是 一 个 标识 
AP A 身份 信息 的 一 系列 字符 ， 而 m 为 两 个 大 素数 p 和 9g WHR. fZ, n>n 为 一 个 
随机 函数 ， 它 将 任意 有 限 长 度 的 字符 Z 和 以 某 种 不 可 预测 的 方式 生成 的 自然 数 n 映射 成 剩 
REAZ, 中 的 元 素 。 模 数 m 的 紊 数 因子 p 和 9g 只 有 认证 中 心 知 道 ， 其 他 任何 人 都 不 知 
道 。 对 于 代表 身份 的 I 和 已 经 确定 的 &E N， 认 证 中 心 的 任务 是 以 如 下 的 过 程 生成 密 铀 
组 件 。 


Fiat-Shamir 过 程 中 的 密 钥 生成 算法 
1) 对 网 Hau —fd, OE Z,. 
2) 从 v; Pitk 个 互 不 相同 的 二 次 剩余 vi; ，…，vi;， 并 在 Z, 中 计算 vi'，…， 


vi 的 平方 根 $s， you? Ste 
3) 将 值 T 和 s; ot, s, 安全 地 存储 起 来 以 防止 未 授权 的 访问 (例如 ， 存 储 在 智能 
上 





© Kecd(M, na) =1 且 确 实 存 在 C 的 4 个 不 同 的 根 。 否 则 发 送 者 B 就 可 以 通过 计算 ged(M，na) 来 分 解 接收 
者 A 的 模 数 na 。 这 当然 是 公 钥 密码 系统 不 允许 的 。 
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可 以 使 用 前 面 介 绍 的 函数 jacobi 1() 和 root 1() 来 生成 密 钥 s; ， 而 函数 f 可 以 使 用 
第 17 章 介 绍 的 各 种 散 列 函数 ， 例 如 RIPEMD-160。 正 如 Adi Shamir 在 一 次 会 议 中 说 道 : 
“任何 疯狂 的 函数 都 可 以 胜任 。” 

在 认证 中 心 将 敏感 信息 存储 在 智能 卡 中 ，A 就 可 以 向 通信 的 对 方 B 证 明 自 己 的 身份 。 


Fiat-Shamir 认证 协议 

1) A 将 I 和 数 ij(j 二 1]，…， 上) 发 送 给 

2) 昌 对 j 二 1 or, REMY =f, iE Zas RFRHAGFRI~ FRE Arct 
重复 执行 1 次 (而 1€ NN 的 值 已 经 确定 了 ): 

3) A 选择 一 个 随机 数 r.€ Zn Hz. 发 送 给 

4) B% A 发 送 一 个 二 进 制 向 量 (e, ，…，e, )。 


5) A H y en ae Se 发 送 给 


6) 了 验证 r, -Tle 是 否 成 立 。 





若 A 确实 持 有 值 ss ，…，s, ， 则 在 步骤 6 中 有 
s a= la "Haws lias =e 


成 立 (所 有 计算 都 在 Z, 中 进行 )， 于 是 A 就 向 B 证 明了 自己 的 身份 。 一 个 企图 仿冒 A 的 
攻击 者 只 有 2 下 的 概率 能 猜 对 每 次 在 步骤 4 中 B 发送 的 向 量 (e。 ，…，e )， 作 为 预防 措施 


攻击 者 在 步骤 3 PRHA ze = r; IT». 发 送 给 B， 因 为 在 k=t=1 则 攻击 者 就 有 1/2 的 优势 


能 攻击 成 功 。 因 此 & 和 + 上 值 的 选择 应 该 能 够 使 攻击 者 没有 成 功 的 可 能 ， 同 时 也 应 根据 应 
的 需要 选择 : 

e 密 钥 的 大 小 。 

eA 与 B 之 间 交 互 的 数据 集合 。 

o 所 需 的 计算 时 间 ， 以 乘法 次 数 度量 。 

[Fiat] Pik SAM Ale ABBR + 一 72。 

总 的 来 说 ， 该 过 程 的 安全 性 依赖 于 秘密 值 ;; 的 存储 、& 和 z 的 选择 以 及 大 数 分 解难 题 : 
任何 能 将 模 数 m 分 解 为 两 个 因子 p 和 4g 的 人 都 可 以 计算 出 密 钥 成 分 ;; ， 那 样 这 个 过 程 就 
被 破解 了 。 因 此 ， 选 择 一 个 难以 分 解 的 模 数 就 至 关 重 要 。 关 于 这 个 问题 ， 读 者 同样 可 以 参 
考 第 17 章 ， 该 章 讨论 的 RSA 模 数 的 生成 也 有 相同 的 要 求 。 

Fait 和 Shamir 过 程 的 另 一 个 安全 性 是 ，A 可 以 任意 多 次 重复 地 证 明 自 己 的 身份 而 
不 用 担心 会 泄漏 自己 的 私 钥 信息 。 具 有 这 样 性 质 的 算法 称 为 零 知 识 过 程 (参见 [Schn] 
32.11 WW). 


10.5 素性 检验 


RALPH., 
— M. Agrawa, N: Kaval, N. Saxena, 2002 
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hnhOTMMEL, 最 大 的 Mersenne 素数 为 Mioas， 我 相信 它 是 目前 为 止 


已 知 的 最 大 素数 。 它 有 3375 位 ， 因 此 为 了 一 281 了 5。 


一 一 Tsaac Asimov, K Adding a Dimension), 1964 


找到 了 第 41 个 公认 的 Mersenne $ R!!! 
—— http://www. mersenne. org/prime. htm May2004) 


对 素数 及 其 性 质 的 研究 是 数论 中 最 古老 的 分 文 之 一 ， 同 时 也 是 密码 学 的 基石 之 一 。 从 
将 素数 合适 地 定义 为 大 于 1 且 除 了 1 和 本 喘 以 外 没有 约 数 的 自然 数 开 始 ， 清 现 了 一 系列 困 
扰 数学 家 多 个 世纪 的 疑问 和 问题 ， 其 中 的 许多 至 今 都 未 被 解答 或 未 能 解决 。 这 样 的 疑问 包 
括 :“ 素 数 的 个 数 是 无 穷 的 吗 ?”“ 素 数 在 自然 数 中 是 如 何 分 布 的 ?”“ 如 何 判 断 一 个 数 是 否 
是 素数 ?”“ 如 何 确 定 一 个 数 不 是 素数 ， 即 为 合 数 ?”“ 如 何 找到 一 个 合 数 的 所 有 素数 因 了 于 ?” 

Euler 在 大 约 2300 多 年 前 就 证 明了 有 无 穷 多 个 素数 存在 的 结论 (参见 LBundj 第 5 页， 
尤其 是 第 39 页 和 第 40 页 有 趣 的 证 明 变 种 和 严格 的 证 明 变 种 )。 男 一 个 需要 明确 给 出 的 重 
要 事实 (尽管 至 今 为 止 ， 该 事实 只 是 谨慎 的 猜想 ， 尚 未 被 理论 证 明 ) 是 : 算术 基本 定理 表明 
每 一 个 大 于 1 的 目 然 数 都 可 以 唯一 地 表示 为 有 限 多 个 素数 相 乘 的 形式 ， 而 其 唯一 性 正 是 由 
这 些 因子 的 阶 所 决定 的 。 因 此 ， 事 实 上 素数 就 是 构造 整个 自然 数 的 基础 成 分 。 

只 有 注意 力 集 中 在 目 然 数 的 本 质 上 而 不 是 因为 那些 难以 处 理 的 大 整数 而 分 散 精力 ， 就 
可 以 接近 以 经 验 为 主 的 一 系列 疑问 并 进行 具体 的 计算 。 但 值得 注意 的 是 ， 问 题解 决 的 水 平 
很 大 程度 依赖 于 所 使 用 算法 的 有 效 性 和 可 用 的 计算 机 的 能 力 。 

因特网 上 公布 的 已 被 确认 为 素数 的 大 整数 的 列表 表明 近年 来 所 发 现 的 大 素数 所 具有 的 
惊人 的 规模 ( 见 表 10-1 和 http://www. mersenne. org), 


表 10-1 10 个 公认 的 最 大 的 素数 (截至 2004 年 12 月 ) 


E RIED 


公认 的 最 大 的 素数 都 是 以 2 一 1 的 形式 出 现 的 。 可 以 以 此 方式 表示 的 素数 称 为 
Mersenne 素数 ， 以 Marin Mersennede(1588 一 1648) 的 名 字 命 名 ， 他 在 完美 数 的 研究 中 发 
现 了 系数 的 这 种 特殊 结构 。( 如 果 一 个 目 然 数 的 值 等 于 其 因子 值 的 和 ， 则 称 这 个 数 为 完美 
数 。 例 如 496 就 是 一 个 完美 数 ， 因 为 496 王 1 十 2 十 4 十 8 十 16 十 31 十 62 十 124 十 248。) 

对 于 p 的 每 一 个 因子 :， 都 有 2' 一 1 也 是 2°-1 的 因子 。 因 为 假设 p=ab, MV 

2e — 1 = (2° — 1) (QP 4 get 1) 


CO 工 代 表 万 亿 ， 按 照 Asimov 定义 的 数量 级 ，1T=101 。 因 此 T 一 281 RA LOA 54-25. FON ao QTV EH. 5 
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因此 ， 只 有 当 户 是 素数 时 ，22 一 1 才 为 素数 。Mersenne 本 人 在 1644 年 声称 (当时 还 未 完全 
证 明 ) 对 于 b257, HAX pE{2, 3, 5, 7, 13, 17, 19, 31, 67; 127; 257s JA 
2—1 也 是 素数 。 除 了 对 p=67 M p=257 最 后 证 实 22 一 1 不 是 素数 以 外 ，Mersenne 推测 
的 其 他 情形 都 被 证 明 是 正确 的 ， 同时 对 许多 其 他 指数 也 有 类 似 的 结果 (参见 LKnut ] 4.5.4 
7 All Band] 3. 2.12 W). 

根据 目前 Mersenne 素数 的 发 现 可 以 推测 存在 无 穷 多 个 素数 p 可 以 构造 Mersenne 素 
数 。 但 是 事实 上 该 猜想 并 未 被 证 明 ( 参 见 LRose] 1.2 节 )。 在 LRosej 第 12 章 中 还 可 以 看 到 ， 
素数 理论 王国 中 其 他 一 些 尚 未 解决 问题 的 一 个 有 趣 的 概述 。 

由 于 在 密码 学 公 钥 算法 中 的 重要 性 ， 素 数 及 其 性 质 越 来 越 受 到 大 家 的 关注 。 分 析 算 法 
数论 在 公 钥 密码 学 及 其 他 话题 中 的 应 用 变 得 前 所 未 有 受 欢迎 挺 是 挺 有 意思 的 。 如 何 判断 一 
个 数 是 否 为 素数 以 及 如 何 将 一 个 数 分 解 为 素数 乘积 的 形式 是 最 受 关 注 的 两 个 问题 。 许 多 公 
钥 算 法 (其 中 最 著名 的 RSA 过 程 ) 的 密码 学 可 靠 性 都 基于 分 解 素 因子 是 一 个 困难 问题 (从 计 
算 复杂 度 的 角度 ) 的 事实 。 至 少 迄 今 为 止 该 问题 在 多 项 式 时 间 内 是 无 法 求解 的 ? 。 

直到 最 近 ， 判 断 一 个 数 是 否 为 素数 并 找到 一 个 确定 的 证 明 来 说 它 是 一 个 素数 ， 在 较 能 
的 情形 下 也 没有 多 项 式 时 间 算 法 。 但 是 依然 存在 一 些 检验 能 以 非常 小 的 不 确定 性 判断 一 个 
数 是 否 为 素数 ， 并 且 一 旦 确定 该 数 为 合 数 ， 则 该 判断 就 确定 了 。 这 样 的 概率 检验 可 以 在 多 
项 式 时 间 内 执行 以 补偿 元 素 的 些许 不 确定 性 ,并且 可 以 看 到 这 种 “ 假 阳性 ”( 即 错误 地 将 
一 个 合 数 判断 为 素数 。 译 者 注 ) 的 概率 可 以 通过 重复 足够 多 次 的 检验 而 将 其 控制 到 任 
意 小 的 正 数 内 。 

一 个 判定 茶 给 定 自 然 数 N 以 内 的 所 有 素数 的 珍贵 而 有 效 的 方法 是 由 古 希 腊 哲 学 家 和 
天 文学 家 Eratosthenes( 公 元 前 276 一 公元 前 195， 参见 [Saga]) 提 出 ， 并 为 了 纪念 他 而 取 名 
为 Eratosthenes 得 法 。 首 先 用 一 张 包含 所 有 大 于 1 而 小 于 或 等 于 N 的 自然 数 的 表 ， 然 后 
从 第 一 个 素数 2 开始 将 表 中 所 有 比 2 大 的 2 的 倍数 除去 。 第 一 个 剩 下 的 比 刚才 用 的 素数 
(刚才 的 例子 中 是 2) 大 的 数 即 为 素数 p， 于 是 它 的 倍数 p(p 十 2 让 (i 二 0，1，…) 也 同样 从 表 
中 除去 。 该 过 程 持续 到 找到 第 一 个 比 VN 大 的 素数 为 止 。 于 是 表 中 剩 下 而 未 被 除去 的 数 就 
是 小 于 或 等 于 NWR RRM. EME RIT “TE? MH. 

下 面 简要 地 阐述 为 什么 Eratosthenes 筛 法 能 如 其 声称 的 那么 有 效 : 首先 ， 归 纳 法 可 以 
立即 证 明 某 个 素数 上 未 被 除去 的 第 一 个 数 也 是 素数 。 因 为 如 果 不 是， 该 数 就 有 一 个 更 小 的 
素 因 了 于 而 应 该 早 在 之 前 就 已 经 因 该 素 因 子 的 倍数 而 被 除去 。 因 为 只 有 合 数 才 会 被 除去 ， 所 
以 在 这 个 过 程 中 不 会 有 素数 被 遗漏 。 

另外 ， 只 需 对 p 三 VN 中 的 每 个 素数 p 的 倍数 进行 除去 操作 就 够 了 。 因 为 如 果 工 是 和 N 
最 小 的 合适 的 因子 ， 所 以 TVN。 因 此 如 果 一 个 合 数 n 三 VN 仍然 未 被 除去 ， 则 该 数 会 有 
一 个 最 小 的 素数 因子 pln JN, WA n 就 会 早 在 作为 p 的 倍数 时 就 被 除去 了 ， 这 与 假 
设 相 矛盾 。 接 下 来 要 考虑 的 是 ， 如 何 实现 这 样 的 筛选 过 程 。 作 为 准备 ， 首 先 需 要 设计 可 编 
程 的 算法 。 为 此 考虑 以 下 几 点 : 因为 除了 2 以 外 没有 偶数 的 素数 ， 所 以 只 需要 将 奇数 作为 
素性 检验 的 对 象 。 可 以 构造 表 f;，1 志 i 过 LI(N 一 1)/2 来 表示 数 2i 十 1 的 素数 性 质 而 不 需要 
列 出 所 有 的 奇数 。 其 次 ， 可 以 用 变量 p 包含 当前 2i 十 1 的 值 ， 该 值 是 (想象 中 ) 刚 才 奇 数 表 
中 的 一 个 ， 而 变量 * 满足 2* 十 1 大 一 (2 十 1)， 即 s=2? +21, FR RAW anin Pea 





O 如 果 想 了 解密 码 学 复杂 度 理 论 方面 的 讨论 ， 可 以 参阅 LHKW] 第 6 章 或 [Schn] 19.3 节 和 20.8 节 。 并 且 其 中 
有 许多 更 进一步 的 参考 文献 。 同 时 读者 也 可 以 阅读 本 书 10. 4 节 的 脚注 。 


1388. PZT 算术 与 数论 : C 实现 


(参见 [Knut] 4.5.4 节 习 题 8)。 


Eratosthenes 筛 法， 计算 小 于 或 等 于 N 自然 数 的 所 有 素数 
1) & L<L(N—-1)/2], B<[/VN/2]. *#*1Xi<L, 4 fil. #4 ix1, p<+3 
Fe s<-4 , 


2) 假若 fi 二 0， 则 跳 到 步骤 4。 否 则 ， 输 出 p 作为 一 个 素数 并 令 有 <-s。 

3) RH RL, WA f0, ke kt+p 并 重复 步骤 3。 

4) 假若 i 三 B， 则 令 i<it+l, ses+2p 和 p<-p 十 2 并 回 到 步骤 2; SM, HE 
结束 。 





该 算法 可 以 转换 为 如 下 的 程序 ， 该 程序 返回 一 个 指向 ULONG 值 列 表 的 指针 。 而 该 列表 
中 的 值 是 以 升序 排列 的 所 有 小 于 输入 值 的 素数 。 


: 素数 生成 器 (Eratosthenes 得 法 ) 
: ULONG* genprimes (ULONG N) ; 
: N( 素 数 搜索 的 上 界 ) 


: 一 个 指向 小 于 或 等 于 NN 的 素数 (ULONG 类 型 ) 组 成 的 数组 的 指针 。( 在 0 的 位 
置 表 示 找 到 的 素数 的 个 数 。) 
NULL， 如 果 malloc() 出 错 





ULONG * 
genprimes (ULONG N) 
{ 
ULONG i, k, p, s, B, L, count; 
char *f; 
ULONG *primes; 
第 1 步 : 变量 初始 化 。 辅 助 函 数 ul iroot() 用 来 计算 一 个 ULONG 变量 平方 根 的 整数 
部 分 。 为 此 使 用 了 10.3 节 中 阐述 的 过 程 。 然 后 为 合 数 动 态 分 配 一 个 数组 f. 
B = (1 + ul iroot (N)) >> 1; 


= N >> 1; 
if (((N & 1) == 0) && (N > 0)) 
{ 
--L; 
} 
if ((f = (char *) malloc ((size t) L+1)) == NULL) 
{ 
return (ULONG *) NULL; 
} 
for (i = 1; i <= Ls i++) 
{ 
f[i] = 1; 
p = 3; 


S = 4; 
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第 2、3 和 4 步 包含 真正 的 季 选 。 变 量 并 表示 数值 2i+ 1. 


for (i = 1; i <= B; i++) 


{ 
if (f[i]) 
{ 
for (k = Sj k <= Ly k += p) 
{ 
f[k] = 0; 
} 
} 
S 4= p +\p * 2; 
p += 2; 


} 
现在 可 以 报告 素数 的 个 数 ， 并 分 配 相 应 数量 的 ULONG 变量 的 空间 。 
for (count = i = 1; i <= L; i++) 
{ 
count += f[i]; 
} 
if ((primes = (ULONG*)malloc ((size t)(count+1) * sizeof (ULONG))) == NULL) 


{ 
return (ULONG*)NULL; 


} 
对 tL | 字段 进行 评估 ， 在 primes 字段 存储 所 有 标识 为 素数 的 数 2i 十 1 
2 也 被 计数 。 
for (count = i = 1; i <= L; i+) 
{ 
if (f[i]) 
{ 
primes[++count] = (i << 1) + 1; 
} 
} 
if (N < 2) 
{ 


primes[0] = 0; 
else 


primes[0] = count; 
primes[1] = 2; 

} 

free (f); 

return primes; 


} 


>- Æ N2, H 


根据 前 文 所 述 ， 用 所 有 小 于 或 等 于 VN 的 素数 除 整数 n， 可 以 判断 一 个 整数 n 是 否 为 
合 数 。 假 如 没有 找到 这 样 的 因子 ， 则 n 本 身 就 是 一 个 素数 ， 而 素数 检验 使 用 的 因子 正 是 由 
Eratosthenes 得 法 给 出 的 。 但 是 这 个 方法 并 不 实用 ， 因 为 需要 检验 的 素数 的 个 数 会 很 快 增 
长 到 非常 大 的 规模 。 特 别 是 ， 根 据 A. M. Legendre 提出 的 猜想 ， 即 素数 定理 ， 随 着 工 无 限 
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增 大 ， 素 数 p(2 壹 p 壹 x) 的 x(x) 值 会 接近 到 z/lnz( 参 见 ，LRosej] 第 12 章 )” 。 小 于 给 定数 
x 的 素数 的 一 部 分 数 的 值 可 以 用 来 弄 清 楚 将 要 处 理 的 数 的 大 小 。 表 10-2 给 出 了 x(x) 和 
x/lInt， 前 者 为 小 于 或 等 于 x 的 素数 的 确切 个 数 ， 后 者 为 近似 值 。 最 后 一 个 单元 格 中 的 问 
号 表示 和 布 望 有 谈 者 来 计算 并 填 上 。 

表 10-2 小 于 各 种 限制 x 的 素数 个 数 


随 着 x 位 数 的 增长 需要 为 除法 测试 而 进行 运算 的 次 数 会 呈 指 数 增长 。 因 此 单纯 地 使 用 
除法 测试 对 于 大 整数 的 素性 判断 而 言 是 不 实用 的 。 应 该 看 到 的 ， 实 际 上 除法 检测 是 其 他 检 
验方 法 的 一 个 辅助 。 但 是 通常 的 素性 检验 只 满足 于 检验 一 个 数 是 否 为 素数 ， 而 不 布 望 直接 
对 其 进行 分 解 。 该 情形 下 的 改进 由 Fermat 小 定理 给 出 ， 它 指出 对 于 一 个 素数 p 和 所 有 不 
是 p 的 倍数 的 目 然 数 a， WE a? '=1 mod p, 

由 上 述 事 实 可 以 得 到 一 个 素数 检验 的 方法 ， 称 为 Fermat 检验 : 如 果 对 某 个 数 a 有 
gcd(a，7) 关 1 或 者 当 gcdla, n)=1 WE RAR l—=a"! mod n AMI, Wn WAERO. 
运算 a” =] mod n mZ O Clog’ n) H CUP 操作， 并且 经 验 表明 只 有 极 少 的 合 数 表现 出 不 
是 素数 的 性 质 。 但 是 ， 也 有 例外 ， 这 些 例外 也 就 限制 了 Fermat 检验 的 可 用 性 。 因 此 需要 
特别 关注 这 些 问 题 。 

首先 应 该 明白 Fermat 小 定理 的 逆 命 题 并 不 成 立 : 不 是 所 有 的 整数 1 <a<n—1), 
当 gcd(a, n)=1 Ha" '=1 mod n 时 就 认为 n 为 系数 。 只 要 a 和 nn ANAM MA VGH 
过 Fermat 检验 。 这 些 数 称 为 Carmichael 数 ， 为 了 纪念 发 现 者 Robert Daniel Carmichael 
(1879 一 1967)。 这 些 有 意思 的 对 象 中 最 小 的 为 

561— 3 < 11 » 171105 = 5 + 13 + 17,1729 = 7 * 13+ 19 
所 有 Carmichael 数 都 有 一 个 共同 的 性 质 ， 即 都 有 至 少 3 个 不 同 的 素数 因子 (参见 LKoblj 第 
5), EB 20 世纪 90 年 代 才 证 明 Carmichael 数 存 在 无 限 多 个 (参见 LBund] 2. 3 市 )。 
小 于 的 数 与 n 互 素 的 相对 概率 为 


] 一 












/nz 4X 1097 






p(n) 
92 —' 
(pad KIR Euler KZO, PrP GALAN AR A KER n 的 数 的 比例 接近 0。 因此， 在 大 多 
数 情形 下 ， 需 要 多 次 遍历 Fermat 检验 来 确定 一 个 Carmichael MH BGA AM. (i a 遍历 
(2<a<n 一 1)， 最 终 找 到 一 个 的 最 小 素 因子 ， BARA HEM a 假定 为 该 值 时 揭示 7 为 
合 数 。 

除了 Carmichael 数 以 外 ， 还 有 其 他 奇 合 数 n， 存 在 自然 数 a， 使 得 gcd(a, n)=1 H. 
a" 三 1 mod n 成立。 这 些 数 称 为 以 a 为 底 的 伪 素 数 。 显 然 ， 可 以 观察 到 只 有 少数 以 2 或 
以 3 为 底 的 伪 素 数 ， 例 如 直到 25 关 10" 为 止 也 只 有 1770 个 整数 同时 是 以 2、3、5 和 ?7 为 底 
WN A BCBS ULL Rose] 3.4 节 )， 但 遗憾 的 是 ， 仍 然 没 有 一 个 通用 的 评估 方法 来 判定 合 数 的 
Fermat 同 余 解 的 个 数 。 因 此 Fermat 检验 的 问题 在 于 其 不 确定 性 ， 即 随机 检验 的 方法 是 否 
能 检查 出 合 数 ， 同 时 检查 的 次 数 是 否 与 结果 无 关 。 


(10-24) 





名 ”素数 定理 分 别 由 Jacques Hadamard 和 Charles-Jacques de la vallee Poussin 在 1896 年 各 自 独 立 证 明了 (参见 
[Bund] 7.3 47), 
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但 是 ， 根 据 Euler 准则 可 以 提供 这 样 的 联系 (参见 10. 4. 1 W): 对 于 一 个 奇 素数 户 ， 所 
有 不 是 p 的 倍数 的 整数 a， 都 有 
gir Vie = (5) mod p (10-25) 


sirh (= mod p 表示 Legendre-Jacobi 符号 。 同 理 ， 根 据 Fermat 小 定理 可 以 通过 如 
下 逆 否 命题 获得 一 个 排除 准则 : 
如 果 对 于 一 个 自然 数 nn 存在 一 个 整数 a， 满足 gcdla, n)=1 H a" a ey mod n, 


则 不 可 能 为 素数 。 

建立 该 准则 所 需 的 计算 代价 与 Fermat 检验 相同 ， 也 是 O(log n)。 

正如 Fermat 检验 中 存在 伪 素 数 问题 一 样 ， 对 于 合 数 2， 依 然 存 在 一 个 确定 的 数 &， 满 
Æ Euler 准则 。 这 样 的 数 芭 称 为 以 a 为 底 的 Euler 伪 素 数 。 一 个 例子 是 n=91=7 » 13 是 以 


9 和 10 为 底 的 Euler HAM. ANA 9° = (5 )=1 mod 91 M100 = (zF 


)j=-1 mod 91°, 
以 a 为 底 的 Euler 伪 素 数 一 定 是 以 a 为 底 的 伪 素 数 ， 因 为 对 a” =L) mod n 两 边 


同时 平方 就 有 a” =1 mod n, 
但 是 ， 对 于 Euler 准则 没有 Carmichael 数 的 对 应 部 分 ， 并且 根据 R. Solovay 和 
V. Strassen 的 观察 可 以 看 到 ， 对 Euler 伪 素 数 误 判 的 风险 容易 从 上 述 的 讨论 中 得 到 界定 。 


1) 对 于 一 个 合 数 nxn， 满足 av ba mod n 且 与 其 互 素 的 整数 a 的 个 数 不 超 过 


71 
va 2.247, 习题 21)。 由 此 可 以 得 到 下 面 的 命题 。 
2) 对 于 一 个 合 数 n， 随 机 选择 个 上 自然数 al1，*…，ai 与 元 互 素 且 存在 IS <k, (HG 
a 人 mod n 的 概率 不 超过 2“。 


这 些 结论 可 以 帮助 实现 Euler 准则 作为 一 个 概率 素数 检验 的 方法 ， 其 中 “概率 ”表明 
如 果 检 验 返 回 的 结果 是 “nn 不 是 一 个 素数 "， 则 该 结果 是 确定 的 ,但 是 当 判 断 n 确实 为 一 
个 素数 时 会 有 一 定 的 出 错 概率 。 








算法 : 概率 素性 检验 Solvay-Sreassen， 用 来 检验 一 个 自然 数 n 是 否 为 合 数 
1) 选择 一 个 随机 数 a 三 n 一 1， 满足 gedla, n)=1, 


2) wR WA a” a == (= | mod n， 则 输出 “n 可 能 为 一 个 素数 ”。 否 则 ， 输 出 “nn 
为 合 数 ”。 





个 检验 需要 O(log nn) 的 计算 时 间 来 进行 指数 运算 和 Jacobi 符号 计算 。 通 过 重复 运用 
a et ont eg ne k=60, G/F 2 -5108 的 几乎 可 以 
忽略 的 错误 概率 ， 同 时 D. Knuth 还 指出 该 值 小 于 瞬 态 硬件 错误 的 概率 ， 例 如 由 一 个 a 粒 


日 ”因为 在 Zan 中 3 是 9 的 阶 、6 是 10 的 阶 ， 所 以 有 9 三 105 三 1 mod 91, PAE 91° =93:15=] mod 91 和 10%= 
106° 7*+%=103=—1 mod 91, 
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子 侵 入 计算 机 CPU 或 内 存 而 改变 一 位 的 值 而 导致 的 错误 。 

现在 可 以 满足 于 该 检验 ， 因 为 可 以 控制 错误 的 概率 并 对 所 需 的 运算 具备 有 效 的 算法 。 
但 是 ， 还 有 一 些 结论 可 以 导出 更 加 高 效 的 算法 。 为 此 有 必要 介绍 可 以 帮助 读者 理解 那些 使 
用 最 为 广泛 的 概率 素性 检验 的 一 些 考虑 。 

首先 假设 n 是 素数 。 则 根据 Fermat 小 定理 ， 对 不 是 n 的 倍数 的 整数 4a， 有 a” 三 
l mod n。 于 是 a”' mod n 的 平方 根 就 只 能 是 1 或 一 1， 因 为 这 是 同 余 方程 x* 圭 1 mod n ME 
一 的 解 ( 参 见 10. 4. 1 99). AM a"! mod n 的 平方 根 开 始 逐 个 计算 后 续 的 平方 根 


a mod n-a mod n,*… ,a mod n 


直到 (mn 一 1)/2' 为 奇数 为 止 ， 假 如 在 此 过 程 中 有 一 个 剩余 不 为 1， 则 这 个 剩余 的 值 只 能 为 
一 1， 和 否则 n 就 不 可 能 为 素数 ， 这 是 前 面 所 假设 的 。 针 对 第 一 个 平方 根 不 同 于 1 而 是 一 1 的 
情形 ， 坚 持 假设 n 是 一 个 素数 。 不 过 ， 帮 nn 是 一 个 合 数 ， 则 称 n 是 基于 这 种 特殊 性 质 的 一 
个 以 a AWN BARR. Ua 为 底 的 强 伪 素数 一 定 是 以 a 为 底 的 Euler 伪 素 数 ( 参 见 
[Koblj 第 5 章 )。 

可 以 将 这 个 思想 融 人 下 面 的 概率 素性 检验 中 ， 尽 管 为 了 较 高 的 效率 需要 首先 计算 震 
0 一 ao 5002 mod n， 其 中 (n 一 1)/2: 为 奇数 ， 并 且 若 这 个 值 不 为 1， 则 继续 对 5 进行 平方 运 
算 直 到 获得 一 个 值 为 士 1 或 达到 wx” mod n。 最 后 就 有 要 么 6 二 一 1 要 么 nn 为 合 数 。 该 缩 
短 算法 的 思想 (使 得 不 需要 计算 最 后 的 平方 ) 来 自 于 [LCohe] 8.2 节 。 


(n—1)/4 (n—1)/2° 


对 奇数 nol 的 概率 素性 检验 的 Miller-Rabin 算法 
1) 用 n 一 1 一 2'g 确定 g for, HPQ ATK. 
2) 选择 一 个 随机 整数 a，1 二 a 二 n。 4e<0, baa! modn, w$ b=1, WE “nT 


能 是 一 个 素数 ”并 结束 算法 。 
3) 只 要 8 尖 士 1 modn He<i—l, WA b-b mod n, e<-e 十 1 。 如 果 此 时 6b 关 n 一 1， 
则 输出 “nn 为 合 数 ”。 否 则 ， 输 出 “n 可 能 是 一 个 素数 ”。 





Miller-Rabin 检验 (简称 MR 检验 ) 也 需要 O(log*n) 的 指数 运算 时 间 ， 因 此 在 复杂 度 上 
与 Solovay-Steassen 检验 的 数量 级 是 相同 的 。 
强 伪 素数 的 存在 意味 着 Miller-Rabin 素性 检验 值 提供 了 对 合 数 的 确定 性 判断 。 例 如 ， 
上 文 提 到 的 例子 91， 它 既是 以 9 为 底 的 Euler 伪 素 数 ， 同 时 也 是 以 9 为 底 的 强 伪 素 数 。 更 
多 的 强 伪 素数 的 例子 有 
2 152 302 898 747 = 6763 » 10 627 = 29 947 
和 
3 474 749 660 383 = 1303。16 927 - 157 543 
这 两 个 数 也 是 10 以 下 以 2、3、5、7 为 底 的 仅 有 的 两 个 伪 素 数 (参见 LRose] 3. 4 47). 
冬运 的 是 ， 强 伪 素 数 的 个 数 也 因为 这 些 数 的 存在 而 变 少 了 。M. Rabin 证 明了 对 于 一 个 
合 数 n， 存 在 小 于 n/4 个 的 底数 a(2 壹 an 一 1)， 而 此 时 nn 为 强 伪 素数 (参见 [Knut] 4. 5. 4 
W, KA 22 和 [Koblj] 第 5 章 )。 由 此 可 以 通过 选择 个 随机 的 底数 al，…，a 而 得 到 一 个 
k 层 的 重复 检验 ， 该 检验 能 以 小 于 4“ 的 概率 检验 出 被 错误 地 当 作 素 数 的 强 伪 素 数 。 因 此 ， 
对 于 相同 的 工作 量 ，Miller-Rabin 检验 比 Solovay-Steassen 检验 更 优 ， 因 为 有 次 重复 检验 
能 将 错误 的 概率 限定 在 2“ 以 内 。 
实际 上 ，MillerRabin 检验 比 声称 做 得 还 要 好 ， 因 为 在 绝 大 多 数 情况 下 实际 错误 的 概 


率 比 Rabin 定理 所 保证 的 概率 要 小 得 多 (参见 LMOV] 4. 4 节 和 [LSchnj 11.5 节 )。 

在 实现 Miller-Rabin 检验 之 前 ， 先 看 两 个 优化 效率 的 方法 。 

以 除法 筛选 作为 Miller-Rabin 检验 的 开始 ， 该 筛选 能 将 素数 候选 数 除 小 素数 ， 于 是 可 
以 有 一 个 好 处 : 假若 在 这 个 过 程 中 找到 一 个 因子 ， 则 这 个 候选 数 就 可 以 直接 排除 而 不 需要 
用 Miller-Rabin 检验 处 理 。 于 是 问题 立刻 变 为 在 执行 MR 检验 之 前 能 有 多 少 个 素数 可 以 用 
来 除 其 他 的 数 。 根 据 A.K. Lenstra， 可 以 给 出 一 个 建议 : 假若 用 2000 以 内 的 303 个 素数 
去 除 会 有 最 高 的 效率 (参见 LSchn] 11. 5 节 )。 这 个 结论 所 基于 的 理由 是 , 在 以 内 的 奇数 
没有 素数 因子 的 相对 频率 大 约 为 1.12/lnn。 用 2000 以 内 的 素数 删除 合 数 可 以 在 使 用 MR 
检验 之 前 删除 85% 的 合 数 ， 于 是 MR 检验 只 需要 作用 于 剩余 的 候选 数 。 

每 一 次 用 小 除数 做 除法 只 需要 O(nn) 阶 的 计算 时 间 。 因 此 可 以 用 高 效 的 除法 例 程 ( 尤 
其 是 小 除数 ) 来 构建 除法 筛选 。 

除法 筛选 可 以 用 如 下 的 函数 sieve 1() 实 现 。 函 数 中 将 小 于 65 536 的 素数 依次 存放 在 
smal1primesLNOOFSMRALLPRIMES] 字 段 中 。 这 些 素数 分 别 存储 ， 其 中 每 个 素数 值 需 1 字 节 
的 存储 空间 。 对 这 些 素 数 的 少量 访问 并 非 一 个 严重 的 问题 ， 因 为 都 是 按 它们 的 实际 顺序 使 
用 的 。 值 得 注意 的 是 ， 如 果 候 选 数 本 身 就 是 包含 在 其 中 的 小 素数 ， 则 需要 特别 指出 。 

最 后 ， 还 可 以 在 应 用 MR 检验 时 从 小 底数 也 是 小 素数 2，3，4，5,， 7, 11, <B W 
指数 函数 中 获得 更 好 的 效率 而 不 是 计算 随机 选择 的 底数 (参见 第 6 章 )。 根 据 经 验 ， 这 样 做 
不 会 影响 检验 的 结果 。 

现在 介绍 除法 检验 。 该 函数 使 用 从 函数 div 1() 发 展 而 来 的 对 小 除数 的 除法 例 程 。 


: 除法 筛选 
: ULONG sieve 1 (CLINT a_l,unsigned no of smallprimes) ; 
: a 1( 素 性 搜索 的 候选 数 ) 

no of smallprimes( R T 2 以 外 ， 作 为 除数 的 素数 ) 


素数 因子 ， 如 果 找 到 一 个 
1， 如 果 候 选 数 本 身 就 是 素数 
0， 如 果 未 找到 因子 





USHORT 
Sieve 1 (CLINT a_l, unsigned int no of smallprimes) 
{ 
clint *aptr_1; 
USHORT bv, rv, qv; 
ULONG rhat; 
unsigned int i = 1; 
为 了 完备 性 ， 首 先 检 验 a 1 是 否 为 2 的 倍数 。 假若 a 1 中 有 值 2， 则 返回 1， 而 若 a 1 
比 2 大 且 为 偶数 ， 则 将 2 作为 因子 返回 。 
if (ISEVEN L (a 1)) 
{ 
if (equ 1 (a 1, two 1)) 
{ 
return 1; 


} 


else 
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{ 
return 2; 
} 
} 
bY = 2: 
do 


{ 
这 些 素数 是 由 存储 在 smallprimes| ] 中 的 素数 和 存储 在 变量 bv 中 的 值 相 加 而 得 到 
的 。 第 一 个 用 作 除 数 的 素数 是 3。 使 用 一 个 USHORT 类 型 来 做 快速 的 除法 (参见 4. 3 节 )。 
TV = 0} 
bv += smallprimes[i]; 
for (aptr 1 = MSDPTR L (a 1); aptr 1 >= LSDPTR_L (a 1); aptr 1--) 


{ 
qv = (USHORT)((rhat = ((((ULONG)rv) << BITPERDGT) + (ULONG)*aptr 1)) / bv); 


rv = (USHORT)(rhat - (ULONG)bv * (ULONG)qv); 
} 
} 


while (rv != 0 && ++i <= no of smallprimes); 
如 果 找 到 一 个 实际 的 除数 (rv== 0 A bvAa 1; 否则 ，a 1 本 身 就 是 一 个 素数 1)， 则 
返回 此 除数 。 如 果 a 1 本身 就 是 一 个 小 素数 ， 则 返回 1， 否则， 返回 0。 
if (0 == yy) 


} 
if (DIGITS L (a 1) == 1 && *LSDPTR L (a 1) == bv) 


} 


bv = 1; 


} 


/* else: result in bv is a prime factor of a 1 */ 


} 


else /* no factor of a 1 was found */ 


} 


by = OQ 
} 


return bv; 
} 
PK% sieve 1() 可 以 用 来 将 CLINT 对 象 中 小 于 65536 的 素数 因子 分 离 出 来 。 为 此 ， 在 


flint. h 中 定义 了 宏 SFACTOR L(n_ 1) 来 调用 sieve 1 (n 1，NOOFSMRALLPRIMES) 以 便 用 
存储 在 smallprimesLj] 中 的 素数 来 检验 是 否 能 整除 n_ 1。 通过 重复 调用 SPACTOR_L () 寻 找 
因子 来 除 操作 数 就 可 以 将 小 于 2 的 整数 ( 即 在 标准 整 型 变量 所 能 表达 的 整数 ) 都 分 解 。 如 
果 未 找到 因子 ， 则 认为 正在 处 理 一 个 系数 。 

成 熟 的 检验 函数 prime 1() 整 合 了 除法 筛选 和 Miller-Rabin 检验 。 为 了 保持 其 最 大 的 
可 用 性 ， 构 造 函 数 时 将 检验 前 的 除法 次 数 和 通过 Miller-Rabin 检验 的 次 数 作为 参数 传递 。 
为 了 简化 应 用 ， 可 以 调用 宏 ISPRIME L(CLINT n 1) 来 调用 预先 设置 参数 的 函数 prime () 。 

天 于 到 底 知 要 重复 多 少 次 Miller-Rabin 检验 来 保证 可 靠 的 结果 是 一 个 开放 性 问题 ， 在 
不 同 的 文献 中 有 不 同 的 建议 。 例 如 ，LGordj 和 [LSchnj 建 议 为 了 密码 学 的 目的 可 以 重复 5 
次 ， 而 LCohej 中 的 算法 却 规定 需要 25 次 。LKnutj] 的 建议 认为 检验 中 使 用 25 次 可 以 使 得 
10 亿 个 候选 数 中 将 合 数 错 误 地 接受 为 素数 的 可 能 性 小 于 10“， 尽 管 这 个 次 数 25 并 非 明 确 
地 被 赞同 ， 以 至 于 作者 甚至 提出 一 个 较 有 哲理 的 疑问 : “我 们 是 否 真 的 需要 对 素数 进行 严 





BE AY EH?” 9 
在 数字 签名 的 应 用 领域 ， 有 一 种 观点 认为 素数 生成 的 错误 概率 在 2 S10 “以 下 就 可 
以 接受 了 (在 欧洲 ， 也 正在 讨论 这 个 界限 可 以 为 2 “之 10 “)， 这样 就 保证 在 生成 大 量 的 密 
钥 时 ， 错 误 几 乎 完全 可 以 被 排除 。 而 文献 LRegTJj] 在 2010 年 建议 这 个 国 值 应 该 低 于 2 “。 
具体 到 Rabin 对 错误 概率 的 估计 ， 意 味 着 需要 进行 40 或 30 次 Miller-Rabin 检验 ， 这 会 随 
着 被 检验 数 的 增 大 而 使 计算 时 间 大 大 增加 。 但 事实 上 ， 也 存在 灵敏 的 评估 ， 它 们 不 仅仅 依 
赖 于 检验 的 次 数 ， 同 时 也 依赖 于 素数 候选 数 的 长 度 ( 参 见 LDaLPj] 和 [LBurt])。 在 LDaLPj] 中 
证 明了 如 下 的 不 等 式 ， 其 中 pi 表示 随机 选择 7 位 二 进 制 长 度 的 奇数 在 通过 & 次 Miller- 
Rabin 检验 后 依然 为 合 数 的 概率 : 
We 2 (10-26) 


Ed Bt Feo, 1588, Beckles, tS (10-27) 
brn fi ogg Eps” gue 412 e Le Z 1/9 <k< 1/4, L= 21 (10-28) 
bg drga t Si Te 81 (10-29) 


从 上 述 不 等 式 可 以 计算 对 于 给 定位 数 的 数字 进行 多 少 次 Miller-Rabin 检验 可 以 将 错误 
概率 控制 到 多 低 的 程度 ， 或 者 对 于 给 定 错误 概率 的 要 求 需 要 进行 多 少 次 检验 。 这 些 结论 远 
HEF Rabin AY HE WT. Ade Rabin 的 断言 需要 A 次 重复 才能 将 错误 概率 控制 在 4 以 下 。 
K 10-3 说 明 为 了 达到 错误 概率 小 于 2 “和 2 ”， 所 需要 检验 的 次 数 & 和 检验 数 : 的 二 进 制 
长 度 的 关系 。 


R 10-3 为 了 达到 错误 概率 小 于 2 “和 2 "”， 所 需要 检验 的 次 数 k 和 检验 数 | 
的 二 进 制 长 度 的 关系 (根据 LDaLP]) 





概率 二 2 ia <2 1 

l k 
49 47 
73 42 
105 35 
137 29 
197 23 
220~234 20 
235~251 18 
252~272 17 
273~299 16 
300~331 : 12 
332~374 8 480~542 8 
375~432 7 943~ 626 7 
433~513 6 627~746 6 
514~637 9 747~926 5 
638 一 846 4 927~1232 4 
847~ 1274 3 1233~1853 3 
1275~ 2860 2 1854~4095 2 
之 2861 l 之 4096 ] 


© ”文献 LBCGPJ 提 到 的 Knuth 的 断言 仅仅 因为 对 大 多 数 合 数 发 生 错 误 的 概率 足够 小 于 1/4 以 下 才 成 立 ， 否 则 
Knuth 给 出 的 错误 上 界 将 很 大 程度 上 依赖 于 给 定 的 这 个 数 。 
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在 式 (10-26) 一 式 (10-29) 中 并 未 考虑 在 Miller-Rabin 检验 之 前 进行 的 除法 筛选 。 由 于 
该 筛选 能 以 很 高 的 频率 降低 合 数 候选 数 的 个 数 ， 所 以 可 以 认为 对 于 给 定 的 ! 和 所 能 期 望 
的 错误 概率 还 要 低 很 多 。 

关于 在 随机 选择 素数 的 生成 过 程 中 与 错误 概率 相关 的 条 件 概率 的 微妙 问题 的 讨论 ， 请 
参考 [BCGP] 和 [MOV]4.4 节 。 

在 如 下 的 函数 prime 1() 中 ， 将 考虑 表 10-3 中 的 值 。 其 中 使 用 了 震 运 算 图 数 wmexp () ， 该 
图 数 结合 了 Montgomery 算法 ， 它 利用 从 小 底数 进行 寡 运 算 的 优势 (参见 第 6 章 )。 


功能 : 带 除 法 筛选 的 Miller-Rabin 概率 素性 检验 
Wik: int prime 1(CLINTa l; 
unsigned int no of smallprimes, 


unsigned int iterations) ; 


输入 : n 1( 素 性 候选 数 ) 


no of smallprimes( 用 于 除法 筛选 的 素数 个 数 ) 
iterations(Miller-Rabin 检验 的 迭代 次 数 ; 如 果 iterations== 0 它 由 表 
10-3 决定 ) 

: 1， 如 果 候 选 数 可 能 是 素数 
0， 如 果 候 选 数 为 合 数 或 等 于 1 





int 
prime 1 (CLINT n_l, unsigned int no of smallprimes, unsigned int iterations) 


{ 
CLINT d l; xl, ĝi; 
USHORT i, j, k, p; 
int isprime = 1; 


if (EQONE L (n_1)) 
{ 


return 0; 
} 
现在 执行 除法 检验 。 如 果 找 到 因子 ， 则 函数 结束 并 返回 0。 如 果 sieve 1() 返 回 1， 
则 表示 mn_ 1 本 身 就 是 素数 ， 于 是 函数 结束 并 返回 1; 否则 ， 执 行 Miller-Rabin 检验 。 
k = sieve 1 (n 1，no of smallprimes); 
if (1 == k) 
{ 


return 1; 
} 
if (1 < k) 
{ 


return 0; 


} 


else 


if (0 == iterations) 


如 果 传 递 参 数 iterations == 0， 则 根据 n 1 的 位 数 可 以 确定 错误 率 在 2 5 以 内 所 需 
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的 最 优 的 和 迭代 次 数 。 
{ 
k= ld 1 (nl); 
if (k < 73) iterations = 37; 


else if (k < 105) iterations = 32; 
else if (k < 137) iterations = 25; 
else if (k < 197) iterations = 19; 
else if (k < 220) iterations = 15; 
else if (k < 235) iterations = 13; 
else if (k < 253) iterations = 12; 
else if (k < 275) iterations = 11; 
else if (k < 300) iterations = 10; 
else if (k < 332) iterations = 9; 
else if (k < 375) iterations = 8; 
else if (k < 433) iterations = 7; 
else if (k < 514) iterations = 6; 
else if (k < 638) iterations = 5; 
else if (k < 847) iterations = 4; 
< 


else if (k < 1275) iterations = 3; 
else if (k < 2861) iterations 
else iterations = 1; 


} 

第 1 步 ， 热 行 函数 twofact 1 () 将 2 一 1 分 解 为 n 一 1 二 2*<gqg， 其 中 g 为 奇数 。 将 值 n 一 1 
存 入 变量 d 1 中。 

cpy_1 (d_l, nl); 


1 
N 
we 


dec 1 (d 1); 
k = (USHORT)twofact_1 (d 1, q 1); 
p = 0; 
1 = 0: 
isprime = 1; 
do 
{ 


第 2 F, 底数 p 来 自 存 储 在 smallprimes| ] 字 数 中 差 值 。 x F Riz H, 可 以 使 用 
Montgomery 函数 wmexpm 1()， 因 为 底数 总 是 USHORT 类 型 且 在 对 素数 候选 数 n 1 做 完 除 
法 筛选 后 总 是 奇数 。 如 果 之 后 指数 xX 1 等 于 1， 则 开始 下 一 次 迭代 。 

p += smallprimes[i++]; 

wmexpm 1 (p, 9 1, x 1, n1); 

if (!EQONE L (x_1)) 

{ 

j = 0; 

第 3 步 ， 平 方 运算 。 只 要 x 1 不 等 于 土 ]， 则 还 要 执行 上 一 1 次 迭代。 
while (!EQONE L (x 1) && lequ 1 (x 1, d 1) && ++j < k) 

{ 

tsar 1 (x 1, x1, nl); 
} 

if (lequ 1 (x 1, d 1)) 

{ 


isprime = 0; 
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循环 iterations 次 迭代 。 
while ((--iterations > 0) && isprime); 
return isprime; 


} 


} 

对 于 需要 给 出 确定 性 检验 结果 的 情形 ，1981 年 由 其 发 现 者 L. Adleman、C. Pomerance、 
R. rumely、H. Cohen 和 A. K. Lenstra 提出 的 APRCL 检验 给 出 了 向 该 日 标 检 验 发 展 的 方 
向 。H. Riese 赞赏 该 检验 为 一 个 突破 ， 它 提供 了 快速 、 通 用 和 确定 性 检测 的 可 能 性 ( 见 
[Ries] 第 131 页 )。 该 检测 能 在 oC((nn)'"""") 的 时 间 复 杂 度 上 确定 一 个 整数 n BAAR 
数 ， 其 中 * 为 一 个 合适 的 常数 。 由 于 指数 In In In 在 所 有 的 实际 应 用 中 都 被 看 作 和 常数 级 
别 ， 所 以 可 以 将 其 看 作 一 个 多 项 式 时 间 过 程 ， 该 过 程 能 将 长 达 数 百 位 的 十 进 制 数 以 概率 检 
测 相 当 的 时 间 来 确定 性 地 判断 其 是 否 为 素数 ” 。 该 算法 对 更 高 级 的 代数 结构 使 用 了 Fermat 
小 定理 ， 因 此 在 理论 上 复杂 并 难以 实现 。 更 多 信息 请 参阅 LCohej 第 9 章 ， 或 者 其 中 引用 的 
原文 和 LRiesj 中 的 解释 。 

读者 可 能 会 问 ， 在 通过 用 足够 多 的 底数 进行 Miller-Rabin 检验 以 后 是 否 能 获得 对 某 个 
数 为 素数 的 确定 性 证 明 。 事 实 上 ，G. Miller 已 经 基于 扩展 Riemann 假设 证 明了 当 且 仅 当 
x} Ar Ar AYES Bt a1 <a<C * In’n), Miller-Rabin 检验 都 表明 其 为 素数 时 该 奇数 n 才 为 素数 
(其 中 常数 C 在 LKobl] 中 有 说 明 ， 见 5.2 节 )。 在 这 个 意义 上 ，Miller-Rabin 检验 就 是 一 个 
确定 性 多 项 式 时 间 素 性 检验 算法 ， 只 是 对 于 1024 位 数 需要 进行 大 约 10° 次 迭代 来 产生 一 
个 确定 性 的 结果 。 假 设 每 次 迭代 需要 10“ 秒 的 时 间 ( 这 是 在 一 个 快速 PC 上 进行 一 次 才 运 
算 所 需要 的 运算 时 间 量 级 ， 参 见 附录 D)， 那 么 一 个 确定 性 检验 大 约 需 要 1 小 时 。 考 虑 到 
其 依然 是 基于 一 个 未 被 证 明 的 假设 之 上 ， 因 此 这 个 理论 的 结果 既 不 能 满足 数学 上 的 追求 也 
不 能 吸引 计算 实用 主义 者 在 快速 处 理 方面 的 兴趣 。 

2002 年 ， 迎 来 了 一 个 数学 上 的 惊人 突破 ， 来自 坎 普 尔 印 度 理工 学 院 的 Mandida Agra- 
wal, Neeraj Kayal 和 Nitin Saxena 发 表 一 个 可 以 在 多 项 式 时 间 内 提供 素数 确定 性 证 明 的 算 
法 ， 从 而 也 证 明了 确认 一 个 数 属于 素数 在 计算 复杂 度 理 论 中 属于 P 类 复杂 度 问 题 。 该 算法 
被 Carl Pomerance 赞誉 为 是 “天 才 般 的 和 漂亮 的 >”。 其 证 明 也 是 优雅 而 令 人 人 居 奇 的 简洁 ， 
这 与 之 前 的 想象 正好 相反 ， 因 为 人 们 对 该 问题 的 求解 已 经 努力 了 好 几 个 世纪 。 和 总 之 ， 该 证 
明 不 基于 任何 未 证 明 的 推 新 (参见 LAgKS ]) 。 


确定 一 个 整数 n 是 否 为 素数 的 AKS 算法 
1) 如 果 妹 是 一 个 自然 数 的 等 ， 则 转 到 步骤 8。 


2) > r<2Z, 


3) 如 果 ged(r, n)Æ1, WFAA RB, 
4) 如 果 r 不 是 素数 ， 则 转 到 步骤 5。 否 则 , 令 g 为 r 一 1 的 最 大 素数 因子 。 如 果 g 宇 
Vrlogn Ln “Ar, Wl ses) HEC, 





© Cohen 认为 APRCL 算法 的 可 实用 变种 依然 是 一 个 概率 算法 ， 但 尽管 如 此 ， 依 然 存 在 一 个 不 怎么 实用 却 是 确 
定性 的 算法 版 本 (参见 LCohej 第 9 FE). 
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5) A rer+1 并 转 到 步骤 3, 


6) 如 果 集 合 {1，…， | 2Vrlogn l Fh#A a, A (X-a) EX" 一 waCmod X’—1, 
2) ， 则 转 到 步骤 8-。 

7) 输出 “7 是 素数 ”。 

8) 输出 “n 是 合 数 ”。 





为 了 检验 对 于 2 三 6 二 logn， 是 否 有 L n] Ab., E AKS 检验 的 步骤 1 中 除去 自然 数 的 
Fo BBL n“j」 的 整数 部 分 的 计算 在 本 章 所 介绍 的 算法 中 有 精确 的 描述 。 

AKS 算法 基于 Fermat 小 定理 的 变种 和 二 项 式 定 理 ， 据 此 对 于 1 二 zcEN 和 <eEZ，， 
整数 n 为 素数 仅 当 在 多 项 式 环 Z,[X1( 参 见 [AgKS] 第 2 页) 中 有 

(X +a)" = (A +a) (10-30) 

基于 上 述 事 实 ， 利 用 Z ,LXj] 中 元 素 a 的 检验 就 能 确定 性 地 判断 一 个 整数 是 否 为 一 个 
素数 。 但 是 ， 确 定 多 项 式 (X 二 ae) 中 的 系数 却 需 要 相当 多 的 计算 ,甚至 比 使 用 Era- 
tosthenes ff k ANH [a] A. EWR Agrawal, Kayal 和 Saxena 的 思路 ， 式 (10-30) 的 两 边 都 
可 以 用 一 个 合适 7 值 来 降低 模 数 (X" 一 1)。 如 果 为 了 必然 性 ， 则 对 于 许多 的 a 值 都 有 等 式 

CX +a)” = CX" + a) (10-31) 
EZ. [XX DPR, Wn WARA. HR, HFE n, Z, LX]/X— 1) 
存在 a 和 rr， 有 (X 十 a)" 关 (X" 十 a)。 这 里 可 以 确定 的 是 ， An PERK, XEBH a 和 
可 以 在 多 项 式 时 间 内 找到 ; 而 若是 素数 ， 则 可 以 在 多 项 式 时 间 内 证 明 不 存在 这 样 的 值 。 
这 个 多 项 式 的 系数 由 r 来 界定 ， 因 此 7 越 小 ， 计 算 就 越 快 速 。 硅 7 是 logn 阶 的 ， 则 该 多 项 
式 剩 余 可 以 在 多 项 式 时 间 内 计算 。 

Agrawal, Kayal 和 Saxena 指出 7 可 以 在 ollog’n) 内 找到 ， 且 AKS 检验 只 需 对 1a<2 Jr 
logn 的 值 进行 。 因 此 AKS 检验 的 运行 时 间 为 logen 的 多 项 式 ， 由 ol(log”*”“n) 给 出 >。 于 是 该 
问题 就 解决 了 。 

从 密码 学 的 角度 ， 依然 存在 对 AKS 检验 实际 应 用 方面 不 可 避免 的 问题 : 所 需要 的 计 
算 时 间 是 否 能 满足 实际 应 用 。 

Crandall 根据 对 较 小 的 数 n 用 C 语言 在 “合适 的 工作 站 ”上 实现 的 小 程序 进行 实验 ， 
给 出 了 表 10-4 中 的 数值 。 


表 10-4 AKS 检验 的 近似 计算 时 间 (根据 [LCrPa]) 


n 近似 时 间 
70 001 3 秒 
700 001 15 Bb 
2 147 483 647 200 #b 
1 125 899 906 842 679 4000 PRC 24 1 小 时 ) 
618 970 019 642 690 137 449 562 111 100 000 秒 ( 约 1 K) 


根据 Agrawal, Kayal 和 Saxena 的 记号 法 ，p(r) 三 g(r)(mod x' 一 1， mR plc) Ml q(x) (ER 2 — 1 An R&R 
时 所 得 的 余数 相同 。 

O ”在 这 些 数 上 的 改进 基于 H. Lenstra 和 D. Bernstein 的 建议 (参见 [Bernj)。 如 果 考 虑 Hardy 和 Littlewood 提出 
的 Sophie Germain 素数 (素数 nn 和 2n 十 1 都 是 素数 ) 的 猜想 ， 则 AKS 检验 的 运行 时 间 为 o(logs Ten)。Hardy 
和 Littlewood 推断 集合 {p 夺 zx | p 和 2p 十 1 都 是 素数 } 的 基数 逼近 2CzyVln2z， 其 中 Cz 一 0.660 161 815 8…， 这 
也 称 为 是 挛 生 素数 对 常数 。 该 推论 已 经 被 验证 到 z=108 以 上 的 数 ， 因 此 AKS 检验 更 诱 人 的 运行 时 间 可 以 
在 被 检验 数 至 少 达 到 100 000 位 时 依然 存在 (参见 LBorn J) 。 
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表 中 的 时 间 大 约 对 应 于 10 Slog’n 秒 。 由 F. Bornemann 基于 Pari-GP 库 的 一 个 实现 在 
1. 7GHz PC 上 对 628 362 443 011 进行 的 素性 证 明 ( 参 见 http: //www-m3. ma. tum. de/m3/ 
ftp/bornemann/PARI/ask2. txt) 只 用 了 9 秒 。512 位 素数 所 需 的 运行 时 间 则 需要 几 天 。 至 
此 ， 可 以 得 到 确定 性 的 结果 ， 而 该 结果 之 前 的 概率 素性 检验 算法 只 能 逼近 其 确定 性 。 因 为 
使 用 Miller-Rabin 检验 可 以 将 剩余 的 错误 概率 控制 到 任意 小 ， 所 以 在 实际 应 用 中 这 种 极 小 
的 不 确定 性 的 劣势 也 就 显得 无 足 轻重 了 。 

总 的 来 说 ，AKS 检验 从 复杂 度 理论 的 角度 代表 了 一 个 令 人 振奋 的 结果 ,但 是 由 于 在 
速度 方面 的 巨大 优势 Miller-Rabin 检验 依然 是 密码 学 应 用 所 选择 的 检验 方法 ， 即 使 当 
Henri Cohen 似乎 想 要 回答 前 文 引 用 的 Knuth 的 问题 时 他 直截了当 地 断言 : “但 是 ， 素 性 
检验 需要 严格 的 数学 证 明 ”( 参 见 LCohe]8. 2 节 ) 。 
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我 不 知道 我 们 是 于 还 有 有 机会。 他 可 以 做 乘法 而 我 们 所 能 做 的 只 是 加 法 。 他 代 
LES HRAZAMMA SH. 





Sten Nadolny, 《 God of Impertinence) (Breon Mitchell # ) 


1997 年 ， 美 国 国家 标准 技术 研究 所 (NIST) 在 高 级 加 密 标准 (AES) 项 目的 资助 下 发 起 
了 一 项 密码 算法 的 竞选 ， 该 项 目 旨 在 产生 一 个 新 的 对 称 加 密 算法 的 国家 标准 (联邦 信息 处 
理 标 准 ，FIPS) 。 尽 管 本 书 更 加 关注 于 非 对 称 密码 学 ， 但 是 AES 的 发 展 是 如 此 重要 以 至 于 
即使 再 漠然 也 会 对 此 有 所 关注 。 从 整个 新 标准 FIPS 197 LF197j 中 ， 可 以 构建 足以 应 付 所 
有 当今 安全 需要 的 加 密 算 法 ， 并 且 该 算法 的 设计 和 实现 的 所 有 方面 都 可 以 全 球 免 费 获 得 。 
最 后 ，AES 也 取代 了 过 时 的 数据 加 密 标 准 (DES) ， 尽 管 3DES 依然 在 政府 部 门 中 使 用 。 但 
是 ，AES 代表 了 当年 美国 政府 对 保护 敏感 数据 所 用 的 密码 学 基础 。 

AES 竞选 受到 了 美国 乃至 全 球 的 广泛 关注 ， 不仅 因 为 美国 密码 学 界 的 一 举 一 动 都 会 
产生 全 世界 的 影响 ， 新 分 组 加 密 程序 的 发 展 对 全 球 参与 该 活动 的 推动 作用 也 是 原因 之 一 。 

从 一 开始 1998 年 有 15 个 算法 入 选 ， 到 1999 年 淘汰 了 10 个 算法 ， 该 过 程 涉及 全 球 范 
BAS Sat. Aha wie AF IBM fy MARS; RSA 实验 室 的 RC6; Joan Daemen 和 Vin- 
cent Rijmen 的 Rijndael; Ross Anderson, Eli Biham 和 Lars Knudson 的 Serpent; LAR 
Bruce Schneier 等 人 的 Twofish 这 几 个 算法 。 最 后 ，2000 年 10 月 宣布 了 竞选 的 获胜 结果 。 
由 比利时 密码 学 家 Joan Daemen 和 Vincent Rijmen 提出 的 “Rijndael” 被 定义 为 未 来 的 高 
级 加 密 标准 ( 详 见 LNIST]) 。Rijndael 是 分 组 密码 “Square” 的 后 继 者 ， 而 其 中 由 相同 作 
者 提出 的 “Square” CGE Ul [ Squa ]) 早先 被 证 明 并 不 足够 强大 。Rijndael 则 相应 加 固 了 对 
Square 易 受 攻击 弱点 的 保护 。NIST 的 AES 报告 给 出 了 其 选择 该 算法 所 基于 的 考虑 。 

1. 安全 性 

所 有 的 候选 算法 在 安全 性 方面 都 能 抵抗 已 知 的 攻击 。 相 对 于 其 他 的 候选 算法 ，Ser- 
pent 和 Rijndael 的 实现 能 以 最 小 的 代价 抵抗 基于 对 硬件 行为 时 间 测 量 的 攻击 (所 谓 的 时 间 
攻击 ) 或 抵抗 基于 对 电流 使 用 变化 测量 的 攻击 (所 谓 的 功 耗 或 差分 功 耗 分 析 攻 击 )3 。 针 对 这 
些 攻 击 的 保护 是 Rijndael, Serpent 和 Twofish 的 性 能 退化 最 少 ， 这 对 Rijndael 而 言 有 很 大 
的 优势 。 

2. 速度 

Rijndael 是 候选 算法 中 允许 快速 实现 的 算法 之 一 ， 并 且 该 算法 可 以 在 所 考虑 的 不 同 平 
台 上 都 有 同样 好 的 性 能 ， 例 如 32 位 处 理 器 、8 位 微 控 制 器 、 智 能 卡 和 硬件 实现 ( 见 下 文 )。 
在 所 有 的 候选 算法 中 ，Rijndael 可 以 最 快 地 进行 轮 密 钥 计 算 。 


© “Rijindael” 是 由 作者 名 字 派 生出 来 的 混成 词 。 资 料 显示 该 单词 的 正确 发 音 介 于 “rain doll” 和 “Rhine 
dahl”, RF NIST 应 该 在 标准 中 包含 该 单词 的 国际 音标 的 发 音 。 

O 功 耗 分 析 攻 击 ( 简 单 的 PA/ 差 分 PA) 基 于 独立 的 位 或 密 钥 的 位 组 与 依赖 于 密 钥 的 单独 指令 或 代码 序列 的 执行 
所 需 的 平均 电量 消耗 之 间 的 相关 性 分 析 ( 见 ，LKoJJj、LCJRR]j、LCoPaj]) 。 
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3. 内 存 要 求 

Rijndael 使 用 了 非常 有 限 的 RAM 和 ROM， 因 此 在 资源 受 限 的 环境 中 是 非常 出 色 的 候 
选 方案 。 特 别 是 ， 该 算法 提供 了 为 每 一 轮 分 别 进行 轮 密 钥 快 速 计算 的 可 能 性 。 这 些 属性 在 
智能 卡 等 微 处 理 器 的 应 用 中 有 重要 的 意义 。 由 于 该 算法 的 结构 特点 ， 当 只 需要 实现 一 个 方 
向 (例如 ， 只 加 密 或 只 解密 ) 时 ，ROM 的 存储 需求 最 少 ; 而 当 两 个 功能 兼备 时 ， 存 储 需 求 
会 增加 。 尽 管 如 此 ， 在 资源 需求 方面 ，Rijndael 依然 不 输 于 其 余 4 NEPA. 

4. 硬件 中 的 实现 

Rijndael 和 Serpent 在 硬件 实现 方面 是 性 能 最 佳 的 候选 方案 ， 并 且 由 于 其 在 输出 中 的 
良好 性 能 和 分 块 反馈 模式 ，Rijndael 还 有 一 些 优势 。 

该 报告 进一步 给 出 了 选择 Rijndael 算法 的 决定 时 采用 的 准则 ， 这 些 都 包括 在 其 总 结 中 
( 见 LNIST], 第 7 Ñ): 

考虑 到 AES 将 在 未 来 的 计算 平台 和 广泛 的 环境 中 实现 ,依然 有 很 多 未 知 的 

情形 。 但 是 ， 综 合 者 虑 Rijndael 的 安全 性 、 性 能 、 效 率 、 可 实现 性 和 灵活 性 ， 使 

其 成 为 AES 能 在 当今 和 未 来 的 技术 中 使 用 的 合适 选择 。 

由 于 筛选 过 程 的 公开 性 和 一 件 政 治 上 很 有 趣 的 事实 ， 即 一 个 欧洲 葡萄 酒 庄园 的 算法 与 
Rijndael 一 起 人 人选， 人们 对 可 能 存在 的 投机 猜疑 也 消除 了 。 这 种 猜疑 包括 安全 属性 、 隐 藏 
的 陷 门 和 故意 通 入 的 脆弱 性 ， 而 这 些 猜 疑 在 DES 的 使 用 中 一 直 都 有 。 

在 介绍 Rijndael 的 工作 原理 前 ， 需 要 大 致 了 解 有 限 域 上 的 多 项 式 运 算 。 这 一 部 分 的 内 
容 借鉴 了 LDaRij 第 2 章 。 


11.1 多 项 式 运 算 

首先 从 介绍 有 限 域 F> 上 的 运算 开始 。 该 有 限 域 有 2" 个 元 素 ， 其 中 每 个 元 素 都 用 一 个 
多 项 式 jz) 王 wiiz” Ha, ox" 十 … 十 az 十 ao 来 表示 ， 而 系数 a: 则 为 有 限 域 F;( 该 有 限 
域 与 Z,; 同 构 ) 中 的 元 条 。 同 样 ，F* 中 的 一 个 元 素 可 以 简单 地 表示 为 一 个 n 元 多 项 式 的 系 
数 。 每 种 表示 方法 都 有 其 各 自 的 优势 ， 多 项 式 表 示 非 稼 适合 手工 计算 ， 而 系数 元 组 则 相应 地 
适用 于 计算 机 中 用 二 进 制 来 表示 数 。 为 了 更 好 地 解释 ， 这 里 用 符号 了 > 表示 由 8 个 多 项 式 组 成 
的 序列 及 对 应 的 8 个 3 元 组 ， 每 个 3 元 组 都 有 与 其 相关 联 的 目 然 数 的 值 ( 见 表 11-1). 


表 11-1 Fe 中 的 元 素 


IE I 
0 i ‘00? 
l ‘Ol? 
i “92” 
z 十 ] cg 
‘04? 
2+] “05 
d+ :06， 
r++] ‘07? 





多 项 式 的 加 法 由 系数 在 F; 上 的 加 法 来 定义 ; 假如 flr) =r +2 A glr) tHe? tat 
l, M f(x) 十 g(x)= 二 2x* 十 2zx 十 1 二 1， 因 为 在 F, 上 1 十 1 二 0。 可 以 对 Fx 中 的 3 元 组 逐 列 相 
加 。 于 是 可 以 看 到 ， 例 如 ，(1 1 0) 与 (1 1 1) 的 和 为 (0 01): 
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@ 111 
001 


数字 的 加 法 在 Z, 上 ， 请 勿 与 二 进 制 加 法 混淆 ， 后 者 涉及 进位 。 该 过 程 让 人 联想 起 7.2 
节 中 的 异 或 运算 ， 这 与 大 整数 在 Z, 上 的 运算 是 一 样 的 。 

Fe 上 的 乘法 是 通过 将 第 一 个 多 项 式 中 的 每 一 项 乘 以 第 二 个 多 项 式 中 的 每 一 项 并 将 所 
有 部 分 积 求 和 而 得 到 的 。 然 后 这 个 和 式 对 一 个 3 阶 既 约 多 项 式 求 余 即 可 得 到 乘法 运算 的 结 
果 。 此 处 ， 选 择 m(x) :二 x 十 x 十 1 作为 既 约 多 项 式 ”: 

f(z) ° gla) =(7 +z) 。 œ +24+ Dmoda* +2+1) 
=F -+- 22° + 22° +2 mod +2+ 1) 
=" 4 z mod + 2+ 1) 
该 过 程 对 应 于 求 3 元 组 的 乘积 (1 10) © (1:1 1) 二 (100) 或 者 是 所 表示 的 数值 的 乘积 “06”。 
“07 ”一 "04 ”。 

Fe 上 的 加 法 和 Fz \ (0) 的 乘法 都 构成 交换 群 (参见 第 5 章 )。 同 时 ， 也 满足 域 上 的 分 配 律 。 

Fe 上 的 结构 和 运算 可 以 直接 运用 到 有 限 域 Fs 上， 而 后 者 正 是 研究 Rijndael 所 用 的 代 
数 结构 。 加 法 和 乘法 可 以 如 上 述 的 例子 那样 执行 ， 唯 一 的 区 别 在 于 Fz* 有 256 个 元 素 且 用 
来 求 余 的 既 约 多 项 式 为 8 阶 。 对 于 Rijndael， 既 约 多 项 式 为 m(x) :二 x HarHar Hrt, 
其 代表 的 元 组 为 (100011011)， 对 应 的 十 六 进 制 数字 为 “011B，。 

多 项 式 f(x)=arz'’ +a, 2 tas ta tar tarz tarta, HW x( 对 应 于 一 个 
多 项 式 乘 以 。“02”) 是 非常 简单 的 ; f(r) © =at +a, r tast tais tHa;zr tarz + 
aix’ tax mod m(x)， 其 中 模 m(zx) 的 余数 只 要 求 a 40, 它 可 以 通过 减 mor) RG, BD 
通过 简单 的 系数 异 或 运算 。 

当 进 行 编程 时 ， 可 以 将 多 项 式 的 系数 当 作 整数 的 二 进 制 数字 ， 于 是 可 以 通过 左 移 1 位 
来 计算 与 zx 的 乘积 。 而 当 a; 二 1 时 ， 约 简 可 以 通过 与 对 应 于 m(zx) 的 数 “011B’ 中 的 8 个 最 
低 有 效 位 “1B’ 异 或 而 得 到 (其 中 or 可 以 忽略 )。 对 于 多 项 式 f 或 数值 a， 运 算 a。“02’ 由 
Daeman 和 Rijmen Æ X X b=xtime (a), FEW x 的 血 可 以 通过 连续 应 用 xtime () 获得。 

例如 ， 计 算 f(z) 乘 以 x 十 1( 或 “03’) 可 以 通过 将 f 中 的 数值 a 的 二 进 制 向 左 移动 1 位 
并 将 结果 与 a 异 或 得 到 。 模 m(x) 约 简 通 过 xtime () 即 可 得 到 。 该 过 程 对 应 的 两 行 C 代码 
如 下 所 示 : 


和 /* multiplication of f by (x + 1) */ 
if (f & 0x100) f “= 0x11B; /* reduction modulo m(x) */ 


Fe \ {0} 上 的 两 个 多 项 式 f AA 的 乘法 运算 可 以 通过 使 用 如 下 算法 加 速 : 令 g(x) 为 
Fe \ {0} 上 的 一 个 生成 多 项 式 ?， 则 存在 mr 和 nn， 使 得 =g" Mh=g", Aik f+ h=g"” 
mod m(x), 

从 程序 设计 的 角度 ， 上 述 过 程 可 以 使 用 两 个 表 ， 其 中 一 个 填 人 生成 多 项 式 g(x) tx +1 
的 255 AR: MAARMAN g(x) 为 底 的 对 数 ( 见 表 11-2 和 表 11-3) 。 现 在 f，h WHE 
积 可 以 通过 访问 这 两 个 表 获 得 : 对 =g 和 /二 g" ， 从 对 数 表 中 取出 值 m Bln, MER 
取出 值 gm CTE ge 二 1)。 表 11-2 依 次 给 出 了 g WRK. URRE fe. h= 





O 一 个 多 项 式 称 为 既 约 多 项 式 ， 当 其 只 能 被 自己 或 1 整除 (没有 余数 ) 时 。 
O gg 是 Fz \ {0}) 的 生成 多 项 式 ， 当 且 仅 当 ¢ 的 阶 为 255。 即 ，g HEIR \ 10} 中 所 有 的 元 素 。 
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gP g 的 指数 降低 。 


表 11-2 g(x)=xt+t1M#, NEZAR FHI 

01 03 05 OF 11 33 55 FF 1A 2 72 96 Al F8 13 35 
5F El 38 48 D8 73 95 A4 F7 02 06 OA IE 22 66 AA 
E5 34 5C E4 37 59 EB 26 6A BE D9 7 90 AB E6 3l 
53 F5 04 oc 14 3C 4 CC 4F D 68 B8 D3 6E B2 CD 
4C D4 67 A9 EO 3B 4 D7? 62 A6 Fi 08 18 28 78 88 
8&8 9E B9 D 6B BD DC 7F 8l 98 B3 CE 49 DB 7% 9A 
B5 C4 57 F9 10 30 50 Fo OB ID 27 69 BB D 6l A3 
FE 19 2B 7D 87 92 AD EC 2F 7 93 AE E9 20 60 AO 
FB 16 3A 4E D2 6D B? C2 5D E? 32 56 FA 15 3F 4l 
C3 5E E2 3D 47 C9 40 Co 5B ED 2 74 9C BF DA 75 
9F BA D5 64 AC EF 2A 7E 82 9D BC DF 7A 8E 89 80 
9B B6 Cl 58 E8 23 65 AF EA 25 6F BI C8 43 Cs 54 
FC IF ø 63 A5 F4 07 09 BE Dl 99 BO CB 46 CA 
45 CF 4A DE 7 8B _ 86 91 A8 E3 3E 42 C6 51 F3 OE 
12 36 5A EE 29 71B 8D 8C 8F 8A 85 94 AZ F2 0D 17 
39 4B DD 7C 84 97 A? FD 1C 24 6C B C7 82 F6 ol 
03 05 OF 11 33 55 FF 1A 2 72 ws s. oe F6 


R 11-3 以 g(x) 二 x 十 1 为 底 的 对 数 (如 log. 2=25= 19( FRR), log.) 255=7) 

00 19 01 32 02 1A C6 4B E 1B 68 33 EE DF 03 
64 04 EO OE 34 8D 81 EF AC 71 08 C8 F8 69 IG Cl 
7D C2 1D B5 F9 B9 27 6A 4D E4 A6 72 9A C9 09 78 
65 2F 8A 05 21 OF El 24 12 FO 82 45 35 93 DA 8E 
96 8F DB BD 36 Do CE 94 13 aC D2 F] 40 46 83 38 
66 DD FD 30 BF 06 8B 62 B3 25 E2 98 22 88 91 10 
TE 6E 48 C3 A3 B6 IE 42 3A 6B 28 54 FA 85 3D BA 
2B 79 0A 15 9B 9F 5E CA 4E D4 AC E5 F3 73 A7 57 
AF 58 A8 50 F4 EA D6 74 4F AE ES D5 E7 E6 AD E8 
2C D7 75 TA EB 16 0B F5 59 CB SF BO oC A9 51 AO 
TF 0C F6 6F 17 C4 49 EC D8 43 IF 2D A4 76 7B B7 
CC BB 3E 5A FB 60 Bl 86 3B 52 Al 6C AA 55 29 9D 
97 B2 87 90 61 BE DC FC BC 95 CF CD 37 3F 5B D1 
53 39 84 3C 4] A2 6D 47 14 2A SE 5D 56 F2 D3 AB 
44 11 92 D9 23 20 2E 89 B4 TC B8 26 77 99 E3 A5 
67 4A ED DE C5 31 FE 18 OD 63 8C 80 CO F7 70 07 


在 这 种 机 制 帮 助 下 ， 也 可 以 在 Fz 上 执行 除法 运算 。 于 是 ， 对 于 Sf, hEFe \ (0), A 


Få mon (m—n) mod 255 


oe” ag ee Sg ey 
Fe 上 的 多 项 式 乘 法 运算 在 图 数 polymul () FA: 


功能 : Fe 上 的 多 项 式 乘法 
语法 : UCHAR polymul (unsigned int f, unsigned int h); 


输入 : unsigned int 上 (被 乘 数 ) unsigned int h( 乘 数 ) 
返回 : feh 
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UCHAR 
polymul (unsigned int f, unsigned int h) 


{ 
if ((f != 0) && (h != 0)) 


{ 
注意 : 对 于 如 下 访问 gR, KEJA m n= LogTablel f+ LogTablelh]# 


约 简 。 
return (AntiLogTable[LogTable[f] + LogTable[h]]); 


return 0; 
} 
} 


接 下 来 考虑 的 Fz 上 带 系数 fi 的 f(r) 二 fz 十 fizx 十 有 hz 十 十 fo 形式 的 多 项 pe 
没 那 么 复杂 了 ， 其 中 系数 本 和 喘 就 代表 了 多 项 式 。 每 一 个 这 样 的 多 项 式 系 数 都 可 以 用 4 字 
字段 表示 。 现 在 问题 开始 变 得 直 业 越 有 趣 了 ， 尽 管 这 样 的 多 项 式 加 法 /(z) + go) RAR 
以 用 系数 的 逐 位 异 或 而 得 到 ， 但 是 多 项 式 的 积 h(z) 二 f(z)*，g(x) 则 计算 为 
h(a) = hex thea’ 十 hx ther? + hx? +hix + ho 


其 中 系数 hi :二 = Df g;， 而 求 和 符号 表示 在 Fzs 上 的 由 运算 。 


用 一 个 和 阶 多 项 式 对 h(xz) 约 简 后 ， 可 以 得 到 一 个 Fs 上 的 3 阶 多 项 式 。 
Rijndael 中 使 用 的 既 约 多 项 式 为 M(x) := 二 x! 十 1。 非 常 有 用 的 是 ，x’ mod M(Cz) 一 
xi", DORE A Cr) mod M(x) 可 以 简单 地 计算 为 
dlx) := f(x) & g(x) := h(x) mod M(x) = dz? +d: x° +dix + do 
其 中 
do 一 asp ® a; * bi @ a: * b: Da, * bz, 
di = a; * bo Da * bi @ a; * b: OD a * bz, 
d; = a: * bo OD ar * bi Ba th Da; * bz, 
d; = a; ° bo O a: *b Pa, eb; @ a * bz. 
由 此 可 以 得 出 系数 d; 可 以 用 Fs 上 的 矩阵 乘法 来 计算 : 


do do ai ds ai bo 
di Ul ay a3 ae bi 
= © (11- ] ) 
d, Aa? QI do as bz 
d; Ud3 azz ay, ay 3 


在 所 谓 的 MixColumns 转换 中 执行 的 正 是 这 个 使 用 了 不 变 而 可 逆 的 模 MCz) 的 Fx 上 的 多 项 
K alr) tas’ taz tarz tass APRI ao( 元 ) 一 云 、ar(z) 一 1、as(z) 一 1、as (元 ) 一 元 十 
1， 而 该 转换 即 为 Rijndael 中 的 轮转 换 的 基本 组 成 部 分 。 


11.2 Rijndael 算法 


Rijndael 是 一 个 对 称 的 分 组 加 密 算 法 ， 并 且 其 分 组 大 小 和 密 钥 长 度 都 是 可 变 的 。 它 可 
以 处 理 的 分 组 大 小 为 128 位 、192 位 和 256 位 且 密 钥 也 可 以 是 相同 的 长 度 取 值 范围 ， 而 分 
组 大 小 和 密 钥 长 度 的 所 有 组 合 都 是 可 以 的 。 尽 管 “官方 的 ”分 组 大 小 只 有 128 位 ， 但 是 根 
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据 AES 的 指导 文件 可 以 使 用 不 同 长 度 的 密 钥 。 明 文 的 每 一 个 分 组 都 会 被 加 密 多 次 ， 在 每 
-个 所 谓 的 轮 中 ， 可 以 用 一 个 重复 序列 的 不 同 函 数 进 行 运算 。 而 轮 数 则 取决 于 分 组 的 大 小 
和 密 钥 的 长 度 ( 见 表 11-4) 。 
表 11-4 Rijndael 轮 数 作为 分 组 大 小 与 密 钥 长 度 的 函数 
分 组 大 小 (位 ) 





密 钥 长 度 ( 位 ) 





Rijndael 不 是 Feistel 结构 的 算法 ， 该 结构 的 基本 特征 是 将 分 组 划分 为 左右 两 半 ， 将 其 
中 一 半 进 行 轮转 换 并 将 结果 与 剩 下 的 一 半 进 行 异 或 ， 于 是 两 半 都 被 改变 了 。DES 就 是 以 此 
结构 构造 的 最 著名 的 分 组 加 密 算法 。 不 同 的 是 ，Rijndael 采用 分 层 的 结构 ， 它 连续 地 对 整 
个 分 组 应 用 不 同 的 操作 。 对 一 个 分 组 的 加 密 ， 会 循环 地 应 用 如 下 转换 : 

D 用 第 一 个 轮 密 钥 与 分 组 进行 异 或 。 

2) 执行 L, 一 1 常规 轮 变换 。 

3) 执行 结束 的 轮 变换 ， 其 中 将 常规 轮 变 换 中 的 MixColumns 变换 删 去 。 

步骤 2 中 的 每 一 个 常规 轮 变 换 包 含 4 个 独立 步骤 : 

1) 替换 : 使 用 S 盒 替换 分 组 的 每 个 字 节 。 

2) 置换 : 在 行 位 移 变 换 (shiftRows) 中 置换 分 组 的 字 节 。 

3) 扩散 : 执行 列 混合 (MixColumns) 变 换 

4) 轮 密 钥 加 : 用 当前 的 轮 密 钥 与 分 组 进行 异 或 。 

每 一 轮 中 分 层 变换 如 图 11-1 所 示 。 








Pt 


图 11-1 Rijndael 轮 中 的 分 层 变换 


每 层 都 在 一 轮 中 进行 某 种 特定 的 操作 ， 因 此 对 于 明文 的 每 一 个 分 组 : 

1. 密 钥 的 影响 

在 第 一 轮 之 前 用 轮 密 钥 与 分 组 进行 异 或 ， 并 且 在 每 一 轮 中 的 最 后 一 步 对 轮 结果 的 每 
一 位 都 产生 影响 。 在 对 分 组 进行 加 密 的 过 程 中 没有 哪 一 步 的 结果 不 受到 密 钥 每 一 位 的 
影响 。 

2. 非 线 性 层 

通过 S 盒 的 蔡 换 作用 是 一 个 非 线 性 操作 。S 盒 的 构造 提供 了 一 个 近似 理想 的 抗 差分 攻 
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击 和 抗 线性 攻击 的 保护 ( 见 LBiShj 和 LNISTJ)。 

3. 线性 层 

行 位 移 变 换 和 列 混合 变换 保证 分 组 中 所 有 位 达到 充分 的 混合 。 

在 下 文 描述 内 部 Rijndael 函数 时 ，[ 用 来 表示 以 4 字 节 的 字 为 单位 的 分 组 长 度 ,，L 
用 来 表示 以 4 字 节 的 字 为 单位 的 用 户 密 钥 长 度 ( 即 工 ,，L E14，6，8}))， 而 工 , 则 表示 轮 的 
数量 ， 如 表 11-4 所 示 。 

明文 和 密 文 分 以 字 节 字段 的 形式 进行 输入 并 得 到 对 应 的 输出 。 一 个 以 字段 mo。，…， 
mi, 1 传递 的 明文 分 组 ， 将 以 如 下 的 二 维 结构 如 来 考虑 ， 如 表 11-5 所 示 。 


表 11-5 消息 分 组 的 表示 


bo,o bow bo.2 bo.3 bo 4 wes bo,L, 一 人 
bi.» bi.) by .> bi. by .4 eve bl,L, —1 
b2,0 be, be .2 he.» Dry eee 62.1, =1 
ba ,0 ba.i ba.2 b3.4 ba. 4 eee ba. -ll 


其 中 明文 的 字 节 以 如 下 的 顺序 存储 : 
my 一 > boo 9m, — bio sms —> bzo m3 —> 0D5 0， 
(用 
其 中 i=n mod 4, j=l n/4]J. 
根据 操作 需要 ， 在 Rijndael 函数 中 将 以 不 同 的 方式 访问 该 二 维 结构 BW. OS RRR 
节 进 行 操 作 ， 行 位 移 变换 以 汉中 的 行 (6i,o，6;1，6i2，*…，bi.i-1) 为 单位 操作 ， 而 函数 轮 
密 钥 加 和 列 混合 才 以 4 EO FEF IN ojs bijs bojs ba Vil] BP AVA. 


11.3 计算 轮 密 钥 


加 密 和 解密 都 需要 产生 L, 个 轮 密 钥 ， 合 起 来 称 作 密 钥 表 。 轮 密 钥 的 生成 贯穿 于 秘密 
用 户 密 钥 扩展 的 整个 过 程 ， 其 中 密 钥 扩 展 是 通过 附加 递归 产生 的 生字 节 宇 ki (ko;，ki.i， 
kzi kai) 进行 的 。 

密 钥 表 中 最 开始 的 L; 个 字 k。，…，k1, -1 是 由 秘密 用 户 密 钥 自己 生成 。 对 于 Li € {4， 
6}， 接 下 来 的 4 字 节 字 &; 是 通过 将 前 面 的 字 k; t kio, 异 或 而 得 到 的 。 夺 i 二 0 mod L,, 
则 在 蜡 或 操作 之 前 执行 函数 Fi k, i), BA r OMARE k'r, H Rijndael S & 
替换 SCr(R))( 下 文 将 详细 阐述 ) 以 及 与 常数 c(L i/L 」) 进 行 异 或 等 组 成 。 因 此 合 起 来 的 函 
数 下 可 以 定义 为 Fi (ky 让 :==S(r(k))@e(l i/L J). 

常数 cp) A WE LA cG) =(Crelj), 0, 0, 0), HHP rc(j) 是 从 Fs 上 递归 决定 的 元 
素 ，re(1) := 二 1, rc(j) :二 re(7 一 1)。x= 二 zx/ 。 用 数值 表示 ， 上 述 和 定义 等 同 于 rc(1) := 
‘01°, re(j) :一 rc(J 一 1)。 02”。 从 程序 设计 的 角度 ，rc(7) 是 通过 上 文 描述 的 函数 xtime 
的 一 1) 重 执行 而 得 到 的 ， 其 中 初始 参数 为 1， 或 者 也 可 以 从 访问 一 个 表 来 更 快 地 得 到 ( 见 
表 11-6 和 表 11-7). 


表 11-6 rcl( 门 常数 (十 六 进 制 ) 
“01” "92? ‘04? t08’ 10? *20’ ‘40? *80’ DB 36?’ 
ag | “Dg? “AB? “ED? ‘9A?’ “ZE” *5E’ BG? 63? “HA 
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表 11-7 rc( 门 常数 (二 进 制 ) 
00000001 00000010 00000100 00001000 00010000 
00100000 01000000 10000000 00011011 00110110 
01101100 11011000 10101011 01001101 10011010 
00101111 01011110 10111100 01100011 11000110 
10010111 00110101 01101010 11010100 10110011 
01111101 11111010 11101111 1100010] 10010001 


对 于 长 度 为 256 位 ( 即 六 一 8) 的 密 铀 ， 需 要 插入 一 个 额外 的 S 盒 操作 : A i=4 mod 
L:， 则 在 异 或 操作 之 前 用 S(k;_1 PRR. 

Alt, BAA: (EL 十 1) 个 4 字 节 字 组 成 ， 其 中 包括 了 秘密 用 户 密 铀 。 在 每 一 
轮 ;一 0，…，L 工 一 1， 接 下 来 的 Lei 个 4 字 节 字 从 ALY BRL cy ARAB PRM, (EA 
轮 密 钥 。 类 似 于 消息 分 组 的 结构 化 ， 轮 密 钥 也 可 以 概念 化 为 一 个 二 维 结构 ， 形 式 如 表 11-8 
AIT AR « 


表 11-8 轮 密 钥 的 表示 


ko,o ko,1 ko.2 ko,3 kü.4 -i Rot, 一 1 
kino kia ki .2 hkl.3 ki See Rit, —1 
k2,0 k2,1 k2.2 k2,3 k2,4 wt Reb, 一 1 
k3.0 kz. k3.2 k3,4 k3.4 cre As,L 一 1 


对 于 密 钥 长 度 为 128 位 的 密 钥 生成 可 以 通过 图 11-2 来 理解 。 
HP FAH 


1 ET NNN” ME EEEE OE 














图 11-2 Li =4 的 轮 密 钥 图 解 
目前 并 不 存在 已 知 的 可 能 弱化 这 个 过 程 安全 性 的 弱 密 钥 。 


11.4 S 


Rijndael 算法 中 的 替换 盒 或 称 为 S 盒 ， 规 定 了 一 个 分 组 中 的 每 一 字 节 在 每 一 轮 中 如 何 
替换 为 另 一 个 值 。 

S 盒 负责 将 针对 该 算法 的 线性 和 差分 密码 分 析 与 代数 攻击 的 敏感 性 降 到 最 低 。 为 此 ， 
S 盒 操作 应 该 在 Fx 上 拥有 很 强 的 代数 复杂 度 ， 以 便 对 ShiftRows 和 MixColumns 操作 有 
一 个 很 好 的 扩展 作用 。 这 样 就 能 保证 在 Fs 上 不 存在 一 个 可 以 支撑 上 述 致 命 性 地 减弱 这 个 
方案 安全 性 的 攻击 函数 来 。 

除了 复杂 度 方 面 的 要 求 外 ，S 盒 函 数 还 必须 具有 可 逆 性 ， 同 时 不 能 有 定点 Sla) =a R 
互补 定点 Sla) 一 #5， 并且 该 函数 还 必须 能 快速 执行 且 易 于 实现 。 

通过 将 Fx: 上 的 乘法 逆 与 之 前 提 到 的 从 FF 到 自身 的 仿 射 映射 相 结 合 ， 上 述 的 一 些 要 求 
都 满足 了 。S 盒 包 含 一 个 256 字 节 的 列表 ， 构 造 该 列表 时 ， 先 把 每 个 非 零 字 节 当 作 Fs 的 元 
素 ， 再 用 其 乘法 递 替 换 它 ( 其 中 零 保持 不 变 ) 。 于 是 一 个 下 ,上 的 仿 射 变换 就 可 以 用 一 个 矩阵 
乘法 加 上 (1 1000110) 来 计算 : 


p 11 草 

Yo LL 
yı L i0 Q Q 
yz 1 4 E: 0D 
yw| |1110 
| lr 1 «21 
ys > r a. S 
Ys 0011 1 
@@ 121 
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(T1-2) 


在 这 个 公式 中 ，zo 和 yo 表示 一 个 字 节 中 的 最 低 有 效 位 ， 而 zx 和 y 则 表示 一 个 字 节 中 的 
最 高 有 效 位 ， 其 中 (1 1 0 0 0 1 1 0) 对 应 于 十 六 进 制 值 '63?。 

通过 以 上 构造 ， 所 有 必 备 的 设计 准则 都 满足 了 ， 因 此 替换 是 该 算法 的 一 个 理性 的 增 
IRo Xf 0 一 255 的 值 连续 地 应 用 这 个 构造 方法 可 以 得 到 表 11-9( 以 十 六 进 制 表示 ， 水 平方 向 


从 左 到 右 的 顺序 )。 


表 11-9 SBA 





63 7C 77 7B F2 6B 6F C5 


30 01 

AD D4 
34 A5 
07 12 

52 3B 
6A CB 
45 F9 
BC B6 
C4 A7 
46 EE 
C2 D3 
6C 56 

E8 DD 
61 35 

9B LE 
4] 99 





在 解密 时 S 盒 必须 倒 过 来 使 用 : 使 用 仿 射 的 逆 变 换 ， 然后 在 Fs ETRAZ. 


X S RMK 11-10 fra. 


表 11-10 逆 S 盒 的 值 





40 
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( 续 ) 
47 Fl 1A 71 1D 29 C5 89 6F B7 62 OE AA 18 BE 1B 
FC 56 3E 4B C6 D2 79 20 9A DB CO FE 78 CD 5A F4 
LF DD A8 33 88 07 C7 31 Bl 12 10 59 27 80 EC oF 
60 51 7F A9 19 B5 4A OD 2D E5 7A 9F 93 C9 9C EF 
AO EO 3B AD AE 2A F5 BO C8 EB BB 3G 83 53 99 61 
17 2B 04 TE BA 77 D6 26 El 69 14 63 58 21 OC 7D 
11.5 行 移 位 变换 
在 一 轮 周期 中 的 下 一 步 是 将 分 组 以 字 节 为 单位 进行 置换 。 为 此 ， 分 组 中 的 字 节 将 根据 
表 11-11~ x 11-13 所 示 LFF broo bDi ` Diz， k. bii, 1 ) 为 单位 进行 交换 。 
表 11-11 128 位 分 组 (Los =4) 的 行 位 移 变 换 
ShiftRows 之 前 ShiftRows 之 后 
0 4 8 12 0 4 8 12 
l 5 9 13 5 9 13 l 
2 6 10 14 10 14 2 6 
3 7 1] 15 15 3 fi 11 
表 11-12 192 位 分 组 (Le =6) 的 行 位 移 变换 
ShiftRows 之 前 ShiftRows 之 后 
0 4 8 12 16 20 0 4 8 12 16 20 
l 5 9 13 17 21 9 9 13 Le 21 ] 
2 6 10 14 18 22 10 14 18 22 2 6 
3 7 11 15 19 23 15 19 23 3 7 1] 
R 11-13 256 位 分 组 (Los =8) 的 行 位 移 变 换 
ShiftRows 之 前 ShiftRows 之 后 
0 4 8 12 16 20 24 28 0 4 8 12 16 20) 24 28 
l 5 9 13 17 21 25 29 5 9 13 17 21 25 29 ] 
2 6 10 14 18 22 25 30 14 18 22 26 30 2 6 10 
3 7 11 15 19 23 27 31 19 23 27 31 3 7 1] 15 


在 每 一 个 第 一 行 ( 行 索引 这 0) 都 不 发 生 改 变 。 
个 位 置 ， 从 第 j 个 位 置 移动 到 第 j—c,, mod Ly 个 位 置 ， 其 中 c ,的 值 从 表 11-14 中 获得 。 


表 11-14 行 位 移 变换 中 行 循 环 的 距离 


Cl 


<- 


1 
] 
] 
] 


在 第 (i 二 1，2，3) 行 ， 字 节 循 环 左 移 cu 


Ely s 
2 
2 
3 


2 





这 一 步 的 逆 是 将 第 (i 二 1，2，3) 行 中 的 第 j 个 位 置 的 值 移动 到 第 j 一 c.; mod L, 个 位 置 。 


11.6 列 混 合 变 换 


在 行 位 移 变 换 中 最 后 一 步行 置换 


结束 


=F 


后 ， 分 


组 


H 


的 每 一 列 (0 ) (一 0， 


Si 
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j=0, =, LORT UAE F” 上 的 多 项 式 并 用 其 乘 以 常数 多 项 式 a(x) t= aaz Fma 二 
aztar 其 中 系数 a (2) =z, a (Ce) = 1l, a (FE) 一 上 |、 a; (XTX) 二 x 十 1]， 而 约 简 的 模 
M(x) := 二 x' 十 1。 于 是 ,一 列 中 的 每 个 字 节 与 该 列 中 的 其 他 每 一 个 字 节 都 相互 作用 。 逐 行 
操作 shiftRows 转换 在 每 一 轮 中 都 起 作用 ， 使 每 个 字 节 都 与 其 他 字 节 混合 ， 这 样 能 产生 
强 扩散 。 

通过 前 面 的 描述 (参见 11. 2 节 ) 已 经 看 到 如 何 将 这 一 步 转 换 为 一 个 矩阵 乘法 ， 其 中 的 
乘法 和 加 法 都 在 Fs 上 进行 。 对 于 乘 “02”( 即 x) 可 以 使 用 之 前 定义 的 函数 xtime (), Fe‘O3’ 
( 即 z 十 1) 也 已 经 给 出 了 类 似 的 处 理 ( 参 见 11. 3 市 )。 


bo. 02 03 0] Ol by, ; 
Dia 01 02 03 01| fb 
pean » (11-3) 
bal lor 01 02 03] lbi 
A 03 01 01 02] |6,, 


MixColumns [VY i Ae He Wl) SG 4) ZA P AY a: — 9) Cb, ) RAEM ra) :二 rar Hra 十 
natn, ERAM nlr rttr, 1 (MHP 4+1, nM te +l, rlar + 
z 十 1， 而 约 简 的 模 M(x) =r 十 1。 对 应 的 矩阵 为 

“0E” ‘OB’ “OD’ “097 
097 “OE” “OB” “oD’ 
oD” "09" E "0B? 
‘OB’ ‘OD’ “og” ‘OE’ 


(11-4) 


11.7 轮 密 钥 加 


轮 的 最 后 一 步 执行 轮 密 钥 与 分 组 异 或 : 
(bo, sbi, sb ;D3.,;) 有 一 (ho,, sbi, b>, ; 963; ) H Cko, ; skij skz,j ,Rs,; ) 
其 中 j==0，…，L,_1。 这 样 ， 轮 的 结果 中 每 一 位 都 依赖 于 每 一 个 密 钥 位 。 


11.8 一 个 完整 的 加 密 过 程 


根据 [DaRi]4.2 节 一 4.4 节 ，Rijndael 加 密封 装 在 如 下 的 伪 代 码 中 。 参 数 传递 是 通过 
指向 字 节 字 段 或 4 字 节 字 的 指针 完成 的 。 所 用 的 字段 、 变 量 和 函数 如 表 11-15 一 表 11-17 
所 示 。 


表 11-15 ”变量 的 解释 


变量 解释 

Nk Dh 4 Fh Air BY Be A A AR EL 
Nb 以 4 字 节 字 为 单位 的 分 组 长 度 La 

Nr 轮 数 L, 


表 11-16 域 的 解释 


ExpandedKey 4*Nb * (Nr+ 1) 存储 轮 密 钥 的 4 字 节 字 的 字段 
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X 


T 


( 续 ) 
解释 
用 作 常 数 cG) :二 (re(j)，0，0，0) 吕 的 4 字 节 字 的 字段 
明文 或 密 文 分 组 的 输入 /输出 字段 
轮 密 钥 ，ExpandedKey 的 分 片 


R 11-17 函数 的 解释 


函数 解释 

KeyExpansion 生成 轮 密 钥 
RotBytes 一 个 4 字 节 字 循 环 左 移 一 字 节 : (abcd) 一 (bcda) 
SubBytes 字段 中 所 有 字 节 的 S 盒 替换 
Round 正常 的 轮 
FinalRound 最 后 一 轮 ， 其 中 没有 MixColumns 
ShiftRows 行 位 移 变换 
MixColumns 列 混合 变换 
AddRoundKey 与 轮 密 钥 相 加 

密 钥 生成 : 


KeyExpansion (byte CipherKey, word ExpandedKey) 


{ 


for (i = 0; i < Nk; i++) 


ExpandedKey[i] = (CipherKey[4*i], CipherKey[4*i + 1], 


CipherKey[4*i + 2], CipherKey[4*i + 
for (i = Nk; i < Nb * (Nr + 1); i++) 
{ 
temp = ExpandedKey[i - 1]; 
if (i % Nk == 0) 
temp = SubBytes (RotBytes (temp)) ^ 
else if ((Nk == 8) 8& (i % Nk == 4)) 
temp = SubBytes (temp) ; 


ExpandedKey[i] = ExpandedKey[i - Nk] ^ 


} 
} 


轮 函 数 : 


Round (word State, word RoundKey ) 


{ 
SubBytes (State) ; 
ShiftRows (State); 
MixColumns (State); 
AddRoundKey (State, RoundKey) 


} 
FinalRound (word State, word RoundKey) 


3]); 


Rcon[i/Nk]; 


temp; 


O ”存储 常数 re(j) 的 字段 长 度 | Nb * (Nr+ 1)/Nk] <30 字 节 。 若 这 个 字段 是 以 0 开始 的 ， 则 该 字 节 空闲 ， 


索引 j 从 1 开始 。 那么 其 长 度 为 31 字 节 。 


=n 
AN 





为 
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{ 
SubBytes (State); 
ShiftRows (State); 
AddRoundKey (State, RoundKey) 

} 

加 密 分 组 的 全 部 操作 

Rijndael (byte State, byte CipherKey) 

{ 

KeyExpansion (CipherKey, ExpandedKey) ; 
AddRoundKey (State, ExpandedKey) ; 
for (i = 1; i < Nr; i++) 

Round (State, ExpandedKey + Nb*i); 
FinalRound (State, ExpandedKey + Nb*Nr); 

} 

有 可 能 在 函数 Rijndael 外 准备 轮 密 钥 ， 传 递 密 钥 表 ExpandedKey 而 不 是 用 户 密 钥 Ci- 
pherkey。 当 需要 加 密 的 文本 比 用 相同 的 用 户 密 钥 多 次 调用 Rijndael 的 块 长 时 ， 在 Rijn- 
dael 外 准备 轮 密 钥 是 有 利 的 ， 

Rijndael (byte State, byte ExpandedKey) 


{ 
AddRoundKey (State, ExpandedKey) ; 


for (i = 1; i < Nr; i++) 
Round (State, ExpandedKey + Nb*i); 
FinalRound (State, ExpandedKey + Nb*Nr); 


} 
特别 是 对 于 32 位 的 处 理 器 ， 预 先 计 算 轮 变换 并 将 结果 存放 在 表 中 是 非常 有 利 的 。 将 
置换 和 和 矩阵 操作 替换 成 访问 表 操 作 可 以 节省 大 量 的 CPU 时 间 ， 并 能 更 好 地 加 密 和 解密 。 
在 4 张 由 296 H 4 字 节 字 组 成 的 表 的 帮助 下 ， 分 组 b= (bo,;, bijs bo 55 bs,;)， IER, ver, 
Lo AY DATE BE — 96 EP H EE PA ERE PRR Hh HE : 
b; = (bo, ; ;D1,; » D2,; »b3.; ) sem To Lo | © Ti Lóra 个) T: [Be ae , ® T; [| @ k; 
其 中 


SCw) © 602’ SCw) © £03’ 
Sw) S(w) 。 £02 
Ta Cw) i= 9 Ty Cee) <= 
SCw) SCw) 
SCw) © °03’ SCw) 
(11-5) 
S(w) S(w) 
S(w) 。 ‘03? S(w) 
T: (w) := | . » G Cw) = 
SCw) © ‘02 S(w) 。 £03’ 
Sw) SCw) 。 ‘02 


对 于 w=0, =, 255, Siw) RA SHRM. dG, j) :二 j 十 cL ,i mod L, WR 11-14, F 
Ni AE), ky =CRojs Rigs Ros ks DARA PA j FI. 
以 上 结果 更 详细 的 解释 ， 请 参见 | DaRi]5. 2. 1 节 。 在 最 后 一 轮 中 MixColumns 变换 被 
删除 了 ， 因 此 其 结果 为 
b; = (Sj) Saa, ) Sza) S aap) O kj 
显然 ， 也 可 以 使 用 由 256 个 4 字 节 字 组 成 的 表 ， 其 中 
b; < Tolbo,; | D riToLbraa n] B rCTo Ldza] D rT [53,403.39 |)) 中 k; 
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HP rla, b, c, qd) 二 (d，a，b，c) 循 环 右 移 一 个 字 节 。 对 于 存储 受 限 的 环境 ， 上 述 的 方 
法 是 一 个 非 第 有 效 的 权衡 ,代价 仅仅 是 计算 3 次 循环 移动 市 来 的 微小 的 计算 增长 。 


11.9 解密 

对 于 Rijndael 解密 只 需要 以 相反 的 顺序 执行 加 密 过 程 中 的 变换 的 逆 。 前 面 已 经 讨论 了 
SubBytes、ShiftRows 和 MixColumns 变换 的 递 ， 下 面 直 接 给 出 函数 InvSubBytes, In- 
vShiftRows 和 InvMixColumns 的 伪 代 码 。S 盒 的 道 、 逆 的 距离 、ShiftRows 变换 和 
Minxolumns 变换 的 逆 和 矩阵 等 都 在 11.6 节 中 给 出 。 其 逆 轮 函数 如 下 所 示 : 


InvFinalRound (word State, word RoundKey) 

{ 

AddRoundKey (State, RoundKey) ; 

InvShiftRows (State); 

InvSubBytes (State); 

} 

InvRound (word State, word RoundKey) 

{ 

AddRoundKey (State, RoundKey); 

InvMixColumns (State); 

InvShiftRows (State); 

InvSubBytes (State); 

} 

一 个 分 组 的 解密 操作 如 下 所 示 : 

InvRijndael (byte State, byte CipherKey) 

{ 

KeyExpansion (CipherKey, ExpandedKey); 

InvFinalRound (State, ExpandedKey + Nb*Nr); 

for (i = Nr - 1; i > 0; i--) 

InvRound (State, ExpandedKey + Nb*i); 

AddRoundKey (State, ExpandedKey) ; 

} 

Rijndael 的 代数 结构 使 它 可 以 用 表 来 实现 加 密 的 变换 。 在 此 ， 值 得 注意 的 是 ， 在 一 轮 
中 替换 S 和 InvShiftRows 变换 的 顺序 是 可 以 互 换 。 这 是 因为 InvMixcolumns 变换 作为 
线性 变换 具有 同 态 性 f(x 十 y) 二 f(z) 十 f(y)， 且 当 InvMixColumns 在 轮 密 钥 之 前 使 用 时 
可 以 改变 轮 密 钥 加 。 在 一 轮 中 ， 可 以 采用 如 下 过 程 : 

InvFinalRound (word State, word RoundKey ) 

{ 

AddRoundKey (State, RoundKey) ; 

InvSubBytes (State); 
InvShiftRows (State); 

} 

InvRound (word State, word RoundKey) 

{ 

InvMixColumns (State); 
AddRoundKey (State, InvMixColumns (RoundKey)) ; 
InvSubBytes (State) ; 
InvShiftRows (State); 
} 


% 11% Rijndael: 数据 加 密 奈 准 的 后 继 者 165 





可 以 不 改变 两 个 函数 中 变换 的 顺序 而 直接 如 下 重新 定义 过 程 : 
AddRoundKey (State, RoundKey) ; 


InvRound (word State, word RoundKey) 
{ 
InvSubBytes (State) ; 
InvShiftRows (State); 
InvMixColumns (State); 
AddRoundKey (State, InvMixColumns (Roundkey ) ) ; 


} 

InvFinalRound (word State, word RoundKey) 

{ 

InvSubBytes (State); 
InvShiftRows (State); 
AddRoundKey (State, RoundKey) ; 

} 

使 用 这 个 与 加 密 相 类 似 的 结构 ， 出 于 效率 因素 的 考虑 ， 可 以 将 InvRound () 中 的 In- 
vMixColumns 推迟 到 密 钥 生成 时 ， 此 时 InvMixColumns 的 第 一 轮 和 最 后 一 轮 密 钥 都 没有 
用 到 。 轮 密 钥 的 “ 逆 ” 可 以 用 如 下 过 程 生 成 : 

InvKeyExpansion (byte CipherKey, word InvEpandedKey) 

{ 

KeyExpansion (CipherKey, InvExpandedKey) ; 
for (i = 1; i < Nr; i++) 
InvMixColumns (InvExpandedKey + Nb*i); 


} 
此 时 ， 一 个 分 组 的 解密 操作 如 下 : 
InvRijndael (byte State, byte CipherKey) 


{ 
InvKeyExpansion (CipherKey, InvExpandedKey) ; 


AddRoundKey (State, InvExpandedKey + Nb*Nr) ; 
for (i = Nr = 1; i > 0; i--) 

InvRound (State, InvExpandedKey + Nb*i); 
InvFinalRound (State, InvExpandedKey) ; 


} 
与 加 密 相 类 似 ， 可 以 用 表 来 为 解密 进行 预计 算 。 一 个 分 组 = bos bijs bzjs bj) 
gH, wy [的 逆 轮 操作 后 的 结果 可 以 如 下 确定 : 
b; = do Bag] G) T ‘Loy ian] 中 T: MT Bad Fiada © da i, © k 


其 中 
SH lw) ¢ ‘OE’ S Cw) 。 ‘0B?’ 
S' (w) » ‘09° S (w) « OE’ 
Tx ' (w) == = | 3 T:> Cw) = N j 
S~ Cw) 。 ‘0D?’ S ' (w) » £09’ 
S (w) ¢ 0B’ S' Cw) « ‘0D’ 
s=] > 9 +] é (11-6) 
S CT) ¢ “oD S (w) ¢ ‘09° 
S'(w) « ‘0B’ Sap ¢ 0D’ 
Ta~ (a) i= 7 = ’ T; (w) :一 - 
S'Cw) ¢ ‘OE’ S! Cw) » 0B’ 
S' Cw) « £09’ S (w) ¢ OE’ 


WFw=0, +, 255, S'(w) Kaw S AMM, d'(3, j) :二 J 一 co mod L, (PF IL 
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K 11-9), j=0, =, <b—-1, & |W “Th” BRANT jI. 

同样 ， 由 于 在 最 后 一 轮 中 的 Mixcolumns 变换 被 忽略 了 ， 所 以 最 后 一 轮 的 结果 可 以 如 
下 给 出 : 

b= Di {Bid th rien) Be 

其 中 一 Qs <9 Lene 

为 了 节省 内 存 ， 依 然 可 以 用 256 个 4 字 节 字 组 成 的 表 来 解密 ， 即 
b; — Ty lbo] rT Lbr rap] Br To Lb, | BrTo lban an DD O RT 
HH rla, 6, cs d=(d, a, b, OMMA B -4AF , 


11.10 ERE 


在 多 个 平台 上 的 实现 验证 了 Rijndael 的 优良 性 能 。 带 宽 足 以 在 8 位 的 处 理 器 上 使 用 少 
量 的 存储 空间 来 实现 AES， 并 且 密 钥 生 成 可 以 在 当前 的 32 位 处 理 器 上 快速 完成 。 为 了 比 
较 ， 表 11-18 给 出 了 候选 算法 RC6、Rijndael fil Twofish 在 旧式 的 8051 控制 器 和 当代 的 32 
位 芯片 控制 器 ARM 上 各 自 的 加 密 速度 。 

由 于 InvMixColumns 操作 更 复杂 ， 所 以 解密 和 加 表 11-18 根据 LKoeu]，Rijndael 的 
密 所 用 的 时 间 根 据 实现 情况 会 有 所 不 同 。 当 然 ， 这 个 不 性 能 对 比 ( 字 节 /每 秒 ) 
同 也 完全 可 以 通过 前 面 描述 的 使 用 表 的 方法 进行 补偿 。 ARM 
另外 ， 加 密 和 解密 的 时 间 也 还 取决 于 密 钥 长 度 、 分 组 大 tis ie 
小 以 及 轮 数 ( 见 表 11-4)。 为 了 比较 , 在 Pentium III/200 **° 151260 
MHz 的 环境 下 ， 分 组 大 小 为 128 位 时 ， 密 钥 长 度 为 128 Wwe 
位 的 吞吐 量 大 约 为 8MB/s; 密 钥 长 度 为 192 位 的 吞 叶 量 一 
大 约 为 7MB/s， 而 密 钥 长 度 为 256 位 的 吞吐 量 大 约 为 6MB/s。 在 相同 的 平台 上 ， 用 CC 实 
现 的 DES 的 加 密 或 解密 吞吐 量 为 3. 8MB/s( 见 LGldmj，http:VWfp. gladman. plus. com), 


11. 11 运行 模式 


为 了 使 用 AES，NIST 更 新 了 经 典 的 工作 模式 : 电码 本 (ECB)、 密 文 分 组 链 (CBC)、 
密 文 反馈 (CFB) 和 输出 反馈 (OFB)， 并 提供 了 相应 的 测试 向 量 ( 见 LFI81，N38A])。 考 虑 
到 AES 标准 化 框架 下 使 用 的 额外 的 工作 模式 上 且 这 些 模式 与 因特网 通信 有 关 ， 于 是 有 了 如 
下 的 工作 模式 : 

o 计数 颖 模式 (CTR): 生成 一 个 分 组 密 钥 流 ， 并 使 用 异 或 与 明文 分 组 进行 连接 。 

@ CCM 模式 : 为 了 保证 消息 的 可 靠 性 与 完整 性 ， 根 据 密 文 分 组 链 将 计数 器 模式 与 消 

息 认证 码 (MAC) 结 合 ( 见 [N38C])。 
@ RMAC: 使 用 一 项 正在 发 展 的 技术 一 一 随机 化 的 消息 认证 码 ， 它 可 以 同时 从 消息 的 
内 容 和 来 源 两 个 角度 验证 消息 的 合法 性 ( 见 LN38Bj]) 。 

如 果 想 要 了 解 更 多 的 细节 、 安 全 性 和 密码 分 析 的 调查 、 计 算 时 间 以 及 AES 和 Rijndael 
的 当前 信息 ， 读 者 可 以 参考 前 面 引用 的 文献 和 NIST 及 Vincent Rijmen 的 网 站 ， 这 些 网 站 
也 包含 进一步 信息 资源 的 如 下 链接 : 

http: /csrc. nist. gov/CryptoToolkit/tkencyption. html 











311492 
56289 





http: //csre. nist. gov/CryptoToolkit/modes 

http://www. esat. kuleuven. ac. be/~ rijmen/rihndael 

在 本 书 可 下 载 资源 中 的 文件 aes.c 包 含 了 AES 的 实现 ， 可 以 用 其 加 深 对 该 过 程 的 理 
解 并 做 一 些 试验 。 
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数学 中 戎 处 可 见 仿 戎 机 性 一 一 是 以 供给 佳人 和 何 时代 的 所 有 有 志 的 创造 者 。 
一 一 四 R, Hofstadter, K Gödel Escher, Bach) 


可 以 肯定 的 是 ， 住 何 试 图 用 算术 方法 产生 随机 数字 的 人 都 是 在 犯错 。 


—— John Von Neumann 


“随机 的 ”数值 序列 在 很 多 领域 中 都 会 使 用 到 ， 例 如 在 统计 学 过 程 、 数 值 数学 、 物 理 
学 以 及 数论 的 应 用 中 ， 以 代替 统计 观察 或 者 使 输入 的 可 变数 量 自动 化 。 随 机 数 用 于 : 

e 从 大 的 集合 中 选择 随机 样本 。 

o 在 密码 学 中 生成 密 钥 和 运行 安全 协议 。 

e 作为 过 程 的 初始 值 生成 素数 。 

@ 测试 计算 机 程序 (这 个 主题 后 面 会 讨论 )。 

e 娱乐 活动 。 

以 及 其 他 的 许多 应 用 领域 。 在 用 计算 机 仿真 自然 现象 时 ， 随 机 数 可 以 用 来 代表 测量 
值 ， 以 此 来 代表 一 个 自然 过 程 (Monte Carlo 方法)。 其 至 当 要 求 任意 选 取 数 字 时 ， 随 机 数 
也 是 很 有 用 的 。 在 本 章 开始 曾 述 大 随机 数 生 成 的 一 些 函 数 之 前 ， 先 做 一 些 方 法 上 的 准备 ， 
特别 是 ， 对 于 密码 学 的 应 用 ， 大 随机 数 的 生成 是 非常 有 用 的 。 

随机 数 的 来 源 有 很 多 ,但 是 需要 区 分 由 随机 试验 产生 的 真实 随机 数 与 用 算法 生成 的 伪 
随机 数 。 真 实 的 随机 数 可 以 由 如 下 过 程 产生 : 抛 人 硬币 或 角子 、 旋 转 轮 盘 、 用 适当 的 测量 仪 
器 观察 放射 性 衰变 以 及 评估 电子 元 件 的 输出 等 。 相 反 ， 伪 随机 数 则 是 由 算法 计算 、 由 伪 随 
机 数 生 成 器 帮助 生成 的 。 因 为 伪 随 机 数 生 成 器 是 确定 性 的 ， 其 依赖 于 初始 状态 和 初始 值 
(种 子 ) ， 所 以 是 可 以 预测 和 再 生 的 。 因 此 ， 伪 随机 数 并 不 是 严格 意义 上 随机 产生 的 。 这 种 
情形 经 常 被 忽视 的 主要 原因 是 ， 现 在 拥有 的 算法 能 生成 “高 质量 ”的 伪 随 机 数 ， 因 此 这 里 
需要 解释 这 个 术语 。 

首先 需要 说 明 的 是 ， 事 实 上 ， 当 谈论 的 对 象 只 是 一 个 单一 的 数 时 就 没有 “随机 ”可 言 
了 ， 数 学 上 要 求 的 随机 性 总 是 由 数 的 序列 来 满足 的 。Knuth 说 : “一 系列 独立 的 随机 数 是 
一 个 特殊 的 分 布 ， 其 中 每 个 数 都 是 随机 的 产生 且 与 序列 中 其 他 的 所 有 数 都 相互 独立 ”， 而 
每 一 个 数 的 值 以 一 定 的 概率 出 现在 一 个 值 的 区 间 中 ( 见 LKnuthj3. 1 节 )。 这 里 使 用 “随机 ” 
和 “独立 ”的 术语 是 指导 致 选择 具体 数字 的 事件 在 其 形成 和 交互 过 程 中 是 如 此 复杂 ， 以 至 
于 用 统计 或 其 他 测试 方法 都 很 难 检测 到 。 

用 确定 性 的 过 程 来 生成 随机 数 的 想法 在 理论 上 是 行 不 通 的 。 但 许多 不 同 算法 技术 的 目 
的 却 是 向 这 个 想法 尽 可 能 地 靠近 。 确 定性 随机 数 生成 絮 的 逻辑 结构 可 以 用 一 个 五 元 组 (S， 
R, $, ps Pon) RAIA. HP S 表示 生成 右 内 部 状态 的 有 限 集 ，R 表示 可 能 的 输出 值 的 集 
Ro $: SSS 表示 状态 函数 ，y: SR 表示 输出 函数 ， 而 Pwsn 是 初始 状态 so 的 分 布 概率 度 
量 。 初 始 化 后 ， 在 每 一 步 n 宇 1 时 ， 首 先 计算 新 的 状态 s :二 $8(5,_1)， 然 后 从 该 状态 输出 值 
r, :一 gs )( 见 LBSI2j])。 为 了 评价 随机 数 生成 器 ， 这 里 先 假设 初始 状态 在 集合 S 中 是 均匀 
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分 布 的 ， 并 用 符号 p OF Pan ) 表 示 。 下 一 章 将 讨论 测试 FLINT/C 函数 。 为 此 ， 将 使 用 不 
满足 任何 密码 学 安全 性 要 求 的 大 随机 数 。 

因此 ， 可 以 从 许多 可 能 性 中 选择 一 个 已 经 过 证 明 且 经 凋 使 用 的 伪 随 机 数 生 成 过 程 ( 为 
了 简洁 起 见 ， 后 面 将 经 党 省 略 “ 伪 ” 字 而 直接 说 成 随机 数 、 随 机 序列 和 随机 数 生 成 右 ) 并 
人 花 些 时 间 讨 论 线 性 同 余 。 从 初始 值 X, 开始 用 线性 递归 来 生成 一 个 序列 的 元 素 : 

Aw, = (Xa +6) med m (12-1) 

该 过 程 在 1951 年 由 D. Lehmer 开发 ， 并 由 此 广 为 流 行 。 因 为 尽管 这 个 过 程 很 简单 ， 
但 是 线性 同 余 却 可 以 产生 优良 统计 性 能 的 随机 序列 ， 而 正如 读者 所 料 ， 其 性 能 即 取决 于 参 
Bla, b Film 的 选择 。LKnutj 表 明 当 用 心 选择 好 的 参数 时 ， 线 性 同 余 可 以 出 色 地 通过 统计 
测试 ， 但 是 参数 的 随机 选择 总 是 会 导致 一 个 较 差 的 生成 器 。 因 此 ， 该 过 程 的 关键 在 于 : 小 
心地 选择 参数 | 

选择 m 时 取 2 的 血 则 立刻 会 有 这 样 的 好 处 ， 即 求 模 m 的 剩余 可 以 通过 算术 “与 ” 完 
成 。 同 时 也 会 市 来 一 个 不 利 情况 ， 即 生成 的 随机 数 二 进 制 的 最 低 有 效 位 比 最 高 有 效 位 的 随 
机 行为 弱 。 因 此 ， 在 处 理 这 样 的 数 时 要 特别 注意 。 通 常 ， 必 须 注意 基线 性 同 余 的 模 数 是 m 
的 一 个 系数 因子 ， 则 生成 的 序列 的 值 在 随机 性 方面 较 弱 ， 因 此 也 需要 考虑 将 m 选择 为 一 个 
素数 ， 因 为 这 样 单独 的 二 进 制 数 字 都 不 会 比 其 他 任何 数字 差 。 

参数 a Mm 的 选择 会 对 序列 的 周期 性 行为 产生 影响 : 因为 只 有 有 限 多 个 不 同 的 值 出 现 
在 序列 中 ， 即 最 多 mm 个 ， 而 后 序列 至 少 会 从 第 m+] 个 数 开 始 重复 。 即 ， 序 列 是 周期 性 
的 。( 或 者 说 ， 订 列 存 在 周期 或 循环 。) 这 个 循环 的 进入 点 可 以 不 是 初始 值 X,。， 而 是 后 续 的 
某 个 值 X,。 于 是 数字 Xos Xis Xos s XA RAR 不 重复 元 素 
重复 元 素 (nonrecurring element)。 可 以 如 图 12-1 Bras X, 
来 表示 序列 的 周期 性 行为 。 

因为 根据 所 有 的 合理 准则 ， 在 短 循环 内 产生 规律 的 
重复 数 就 代表 了 随机 行为 差 ， 所 以 必须 努力 将 循环 的 长 x, 
度 最 大 化 或 者 找到 能 拥有 最 大 循环 长 度 的 生成 器 。 可 以 
建立 准则 ， 使 得 根据 此 准则 参数 为 we、2 和 mx 的 线性 同 
余 序列 恰好 拥有 最 长 的 周期 。 即 ， 应 该 满足 如 下 条 件 : 

1) gcd(b, m)=1, 

2) 对 于 所 有 素数 p, A p|m>p|(a—1). 

3) 4| m=>4|Ca—13. 

更 多 细节 和 证 明 请 参考 LKnutj3. 2.1.2 小 节 。 

作为 一 个 满足 上 述 条 件 的 参数 例子 ， 可 以 考虑 ISO -C 标准 建议 的 将 线性 同 余 作 为 函 
数 rand () 的 例子 : 


循环 


图 12-1 伪 随 机 序列 的 周期 性 行为 


Ai 一 (Xi。l103515245 十 12 345)mod m C12-2) 
HP m=2", 这 里 2 一 1 确定 是 unsigned int 类 型 数据 的 最 大 值 。 数 Xi 并 不 是 函数 
rand() 的 返回 值 ， 其 返回 值 为 X;;1/2"mod (RAND MAX 十 1) ， 这 样 函数 rand () 生 成 所 有 
0 一 RAND_MAX 的 数 。 而 宏 RAND_MAX 定义 在 stdio.h 文件 中 且 其 值 至 少 为 32267( 见 
[Plal], 第 337 W). XE Knuth 建议 除去 二 进 制 的 最 低 有 效 位 显然 是 考虑 到 了 2 的 宕 的 
情形 。 读 者 可 以 很 容易 地 确定 该 图 数 满 足 上 述 1) 一 3) 的 条 件 ， 因 此 由 该 生成 器 生成 的 序列 
拥有 最 大 周期 长 度 2 。 
这 样 的 结 末 是 否 能 在 一 个 特定 的 C 函数 库 中 实现 是 可 以 在 所 选 环境 下 测试 的 。C 函数 
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库 源 代码 通常 是 不 公开 的 2 ， 而 测试 可 以 借助 如 下 的 R. P. Brent 算法 。Brent 算法 可 以 通过 
递归 公式 X 二 F(X;) 确 定 序列 的 周期 长 度 *， 其 中 生成 函数 下 :D>D 作用 在 值 的 集合 DE. 
而 初始 值 XE D。 测 试 过 程 中 至 多 需要 计算 下 对 数 2，max{u， 外 次 ( 详 见 LHKWj4.2 市 )。 





Brent 算法 ， 用 以 确定 序列 的 周期 长 度 1， 通 过 xX, Xn = 下 (Xi) 生 成 
1) & y=Xy. rel, k=O, 

2) &x~-y, fk, r<rtr, 

3) &k<k+l, yx Fly), ERM RAA c=y Akr, 
4) Bafy, BAPR2;, 否则 ， 输 出 A 二 & 一 j。 

















根据 上 文 的 ISO 建议 ， 只 有 当 步 又 3 中 能 看 到 序列 的 值 FF(y)， 而 不 是 最 高 有 效 位 才 
表明 该 过 程 是 成 功 的 。 

我 们 回 到 本 章 的 主要 话题 并 给 出 以 CLINT 整数 格式 生成 随机 数 的 函数 。 以 生成 素数 为 
出 发 点 ， 我 们 硕 望 能 产生 指定 的 二 进 制 数字 的 大 数 。 为 此 ， 最 高 位 应 该 设置 为 1， 而 其 他 
位 应 该 随机 地 生成 。 


12. 1 一 个 简单 的 随机 数 生成 器 


首先 ， 构 造 一 个 线性 同 余生 成 器 ， 从 其 生成 的 序列 值 中 可 以 选择 CLINT 随机 数 的 数 
字 。 根 据 KnuthCLKnutj， 第 102~104 页 ) 的 光谱 测试 结果 表 ， 该 生成 器 的 参数 选择 为 < 一 
6 364 136 223 846 793 005， 驳 一 2”。 于 是 ， 根 据 显 示 在 表 中 的 测试 结果 ， 由 X = (X: . 
a 十 1)mod m 生成 的 序列 拥有 最 大 的 周期 长 度 4 二 mx 和 尽 可 能 好 的 统计 特性 。 该 生成 器 是 
由 如 下 函数 randas 1() 实 现 的 。 每 次 调用 rand64 1 () 就 会 生成 序列 中 的 下 一 个 数 并 将 其 
存储 在 全 局 CLINT 对 象 SEED64 中 ， 该 对 象 被 声明 为 static( 静 态 对 象 )。 参 数 a 存储 在 
全 局 变量 A64 中 。 该 函数 返回 一 个 指向 SEED64 的 指针 。 


: 周期 长 度 为 2 的 线性 同 余生 成 器 


: clint $ rando4 | (void); 
: 指向 SEED64 的 指针 ， 其 中 存储 计算 得 到 的 随机 数 





clint: * 
rand64 1 (void) 
{ 
mul 1 (SEED64, A64, SEED64); 
inc 1 (SEED64); 
可 以 通过 简单 地 设置 SEED64 的 长 度 字段 来 执行 模 2m 的 约 简 操作 ， 该 操作 几乎 不 消耗 
计算 时 间 。 
SETDIGITS L (SEED64, MIN (DIGITS L (SEED64), 4)); 
return ((clint *)SEED64); 


} 
接 下 来 ， 需 要 一 个 图 数 来 为 rand64 1 () 设 置 初始 值 。 该 函数 称 为 seed64 10, EF 


O ”自由 软件 基金 会 的 GNU-C 函数 库 和 由 Eberhard Mattes 开发 的 EMX-C 羡 数 库 是 优秀 的 例外 。EMX 函数 库 
中 的 rand () ea AY BB a=69069, b=5, m=2%2, G. Marsaglia 建议 的 乘 数 a= 二 69069、 模 数 m= 2°? 
能 产生 良好 的 统计 结果 和 最 大 的 周期 长 度 ( 见 LKnut]， 第 102 一 104 页 )， 
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一 个 CLINT 对 象 作 为 输入 并 从 中 选取 最 多 4 位 最 高 位 作为 SEED64 的 初始 值 。 以 前 的 
SEED64 值 被 复制 到 静态 CLINT MH BUFF64 中 ， 并 返回 指向 BUFF64 的 指针 。 


功能 : 为 rand64 1() 设 置 初 始 值 
iF: clint * seed64 1 (CLINT seet 1); 


输入 : seed 1( 初 始 值 ) 
返回 : 指向 BUFF64 的 指针 ， 其 中 存储 以 前 的 SEED64 值 





下 一 个 函数 返回 ULONG 类 型 的 随机 数 。 所 有 的 数 都 是 通过 调用 rand64 1() 生 成 的 ， 
其 中 SEED64 的 最 高 位 用 来 确定 所 需要 的 类 型 。 


功能 : 生成 unsigned long 类 型 的 随机 数 


语法 : unsigned long ulrand64 1 (void) 
返回 : unsigned long 类 型 的 随机 数 





ULONG 
ulrand64 1 (void) 
{ 
ULONG val; 
USHORT 1; 
rand64 1(); 
l = DIGITS L (SEED64) ; 
switch (1) 
{ 
case 4: 
case 3: 
case 2: 
val = (ULONG)SEED64[1-1]; 
val += ((ULONG)SEED64[1] << BITPERDGT); 
break; 
case 1: 
val = (ULONG)SEED64[1]; 
break; 
default: 
val = 0; 
} 
return val; 
} 
为 外 ，FLINT/C 包 还 含 图 数 ucrand64 1 (void) Ml usrand64 1 (viod)， 它 们 分 别 用 
来 生成 UCHAR 类 型 和 USHORT KM PPL. (AR. MAAR. WAH pe 
rand 1 () ， 该 函数 可 以 根据 指定 数量 的 二 进 制 数 字 来 生成 CLINT 类 型 的 大 随机 数 。 


功能 : 生成 CLINT 类 型 的 随机 数 
Wik: void rand 1(CLINT r 1, int 1); 


输入 : 1( 需 要 生成 的 随机 数 的 二 进 制 位 数 ) 
输出 : r 1( 在 区 间 2 Kr 1<2'—1 上 的 随机 数 ) 
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void 
rand 1 (CLINT r 1, int 1) 
{ 
USHORT i, J; Is, 1s; 
首先 ， 所 需 随机 数 的 二 进 制 数字 1 的 个 数 会 受到 CLINT 对 象 所 允许 的 最 大 值 的 限制 。 
其 次 ， 确 定 所 需 的 USHORT 数字 的 数量 ls 和 最 高 位 USHORT 的 二 进 制 最 高 位 的 位 置 1r。 
1 = MIN (1, CLINTMAXBIT); 
ls = (USHORT)1 >> LDBITPERDGT; 
lr = (USHORT)1 & (BITPERDGT - 1UL); 
现在 ， 通 过 连续 地 调用 usrand64 1() 来 生成 r+ 1 的 数字 。 因 此 ，SEED64 的 二 进 制 最 
低位 并 不 用 于 构造 CLINIT RF. 
for (i = 1; i <= 1s; i++) 
{ 
r_l[i] = usrand64 1 (); 


} 
现在 遵循 准确 的 步骤 来 产生 x 1。 将 第 (ls+1) 个 USHORT 数字 的 lr-1 位 置 的 最 高 有 效 位 
设置 为 ]， 其 他 的 高 位 设置 为 0。 若 lr==0， 则 USHORT 数字 ls 的 最 高 有 效 位 设置 为 1。 
if (lr > 0) 
{ 

r l[++ls] = usrand64 1 (); 
T= Wet = Ope ie 2” Oe = 4) y 
[lds] = (Els | j) & (ij « 4) = 1)3 


} 
else 
{ 
r l[ls] |= BASEDIV2; 
} 
SETDIGITS_L {r_1, 1s); 


} 


12.2 BASS Ay BPA ey ae 


现在 来 讨论 密 钥 学 的 随机 数 生成 器 ， 这 些 生成 器 根据 其 特性 用 于 保护 敏感 数据 ， 前 提 
是 假设 它们 能 被 合适 地 实现 并 使 用 安全 的 初始 值 (下 文 还 将 继续 阐述 这 个 问题 )。 首 先 ， 构 
造 一 个 BBS 生成 器 ， 然 后 构造 一 个 基于 对 称 算 法 AES 的 随机 数 生成 器 ， 接 下 来 构造 一 个 
基于 密码 学 散 列 函数 RIPEMD-160 和 SHA-1 链 的 伪 随 机 数 生成 器 。 利 用 上 一 章 构 建 的 
AES 和 第 17 章 将 要 介绍 其 性 质 的 散 列 函数 ， 就 可 以 做 一 些 期 待 的 事情 了 。 

通过 上 述 方法 来 实现 可 重 人 的 随机 数 生成 器 ， 这 样 就 可 以 被 多 个 图 数 同时 并 相互 独立 
地 调用 而 不 必 相 互 干 扰 。 当 考虑 如 何 调用 一 个 随机 数 生 成 占 而 其 内 部 状态 恰恰 被 为 一 个 函 
数 删除 的 情形 时 ， 就 会 意识 到 上 述 想法 很 好 。 在 这 种 情形 下 ， 第 二 个 函数 就 无 法 得 到 有 用 
的 结果 。 当 这 些 函 数 是 在 并 行 的 进程 或 线程 中 执行 时 ， 这 种 情形 就 显得 更 突出 。 

例如 ， 当 密 钥 在 一 个 进程 或 线程 中 生成 时 ， 随 机 数 生成 器 的 状态 被 男 一 个 进程 删除 
CBD, BORA) 了 ， 则 该 随机 数 生 成 器 就 不 能 生成 可 靠 的 值 ， 这 将 急剧 地 降低 相关 进程 所 
生成 的 密 钥 的 质量 。 

解决 这 个 问题 的 方法 是 提供 可 重 和 性， 可 以 通过 将 随机 数 生 成 器 的 内 部 状态 存储 到 独 
立 的 缓冲 区 中 ， 而 这 些 缓冲 区 则 由 调用 函数 独立 管理 并 专 一 使 用 。 
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12.2.1 初始 值 的 生成 

需要 为 帘 码 学 随机 数 生 成 器 产生 初始 值 ， 即 所 谓 的 烂 源 。 该 过 程 虽 然 是 显而易见 的 ， 
但 却 应 该 是 不 可 预测 的 且 不 能 被 影响 的 。 每 个 确定 性 生成 的 伪 随 机 数 序 列 的 安全 性 至 多 与 
初始 值 相当 。 攻 击 者 一 旦 知道 或 能 猿 出 伪 随 机 序列 的 初始 值 ， 则 他 就 能 知道 整个 伪 随 机 序 
HRA eE S. WIESE THUET., EWP., WHK EAA 
系统 的 无 序 度 。 好 的 初始 值 是 从 对 最 大 可 能 的 无 序 中 观察 而 来 的 ， 这 个 想法 比 说 成 是 “ 初 
始 值 的 随机 性 ”看 起 来 更 直观 和 引 人 注 目 。 

为 此 ， 这 里 主要 采用 人 工 炉 源 ， 特 别 是 ， 像 特定 过 程 的 时 钟 周 期 数 的 某 种 系统 统计 、 
外 部 事件 (如 鼠标 移动 ) 的 测量 或 者 用 户 的 键盘 事件 和 鼠标 点 击 事件 之 间 的 时 间 等 。 

这 些 参 数 最 好 是 能 相互 结合 ， 例 如 通过 使 用 散 列 函数 。 

获得 箭 的 函数 在 各 种 操作 系统 中 都 提供 ， 例 如 Linux 和 Windows 下 的 Win32 CryptoAPI。 
Win32 的 CryptoAPI 提供 函数 CryptGenRandom()， 该 函数 能 为 操作 系统 获取 多 种 烂 源 。 这 
里 为 了 使 用 Win32 的 动态 连接 库 ADVAPI32. DLL， 有 必要 结合 ADVAPI32. LIB 链接 库 。 

Linux 和 FreeBSD 通过 虚拟 设备 /dev/random 和 /dev/urandonm tMi. KERERE 
管理 一 个 512 字 节 的 灶 池 ， 该 和 池 是 由 多 种 连续 监控 不 可 预测 事件 的 结果 填充 的 。 最 多 产 
的 随机 事件 源 是 键盘 : 两 个 键盘 事件 的 时 间 差 在 微 秒 级 的 最 后 数字 是 既 难 以 预测 也 难以 再 
生 的 。 其 他 源 还 有 与 鼠标 事件 、 硬 件 中 断 和 内 核 的 块 设备 有 关 的 时 间 。 当 烂 池 被 询问 时 ， 
就 利用 散 列 函数 SHA-1 从 池 中 循序 地 产生 64 字 节 的 分 组 ， 并 且 该 操作 的 结果 又 会 被 放 回 
池 中 。 然 后 对 池 中 的 首 个 64 字 节 再 次 应 用 散 列 函数 ， 最 终结 果 则 作为 随机 值 返 回 给 调用 
图 数 。 根 据 需 要 ， 该 过 程 可 以 被 不 断 地 重复 直达 到 到 所 需要 返回 的 字 节 数 时 读 取 访问 才 会 
终止 。 设备 文 件 /dev/random 总 是 根据 池 中 相应 的 可 用 焙 的 多 少 来 输出 随机 数 的 位 。 如 果 
请 求 超出 了 该 输出 上 限 ， 则 虚拟 设备 就 会 被 阻塞 。 只 有 观察 到 足够 数量 的 炉 生 成 事件 发 生 
后 才 返 回 其 他 的 随机 字 节 。 

与 /dev/random 相反 ， 即 使 粹 池 被 消耗 殖 尽 时 ， 设备 文件 /dev/urandom 依然 会 不 断 地 
返回 随机 数 的 值 。 在 这 种 情形 下 ， 设 备 就 以 上 面 描述 的 方式 (参见 LTso j) 返 回 随机 数 的 值 。 

根据 平台 和 可 用 性 ， 下 面 的 函数 同时 使 用 这 两 种 源 来 生成 初始 值 。 另 外 ， 在 Windows 
F, WIN32 KI QueryPerformanceCounter() 产 生 的 64 FAA Fe. Ub. IAT 
系统 时 间 并 且 可 选择 地 ， 接 受 调用 图 数 的 一 个 字符 串 ， 这 样 如 键盘 输入 等 用 户 输入 也 可 以 
考虑 为 初始 值 的 生成 。 这 样 ， 得 到 的 值 用 散 列 函数 RIPEMD-160 再 次 压缩 为 20 FY 
果 ， 并 以 该 形式 返回 ， 同 时 该 结果 也 是 CLINT 格式 的 大 整数 。 


功能 : A A REPA E RSME RH, RTA PRLS RAS, MSP 
从 系统 规定 的 源 读 取 : 
对 于 Win32: A QueryPerformanceCounter(64 byte) & CryptGenRandom 
获取 值 。 
对 于 Linux: #4 TA., WA/dev/urandom 读 取 。 


同时 ，LenRndStr 和 AddEntropy 字 节 进入 结果 中 。 这 些 作为 CLINT 类 型 
Hobs AGRE TVA AE RAIA 

: int GetEntropy 1(CLINT Seed _ 1, char * Hashres, 
int AddEntropy, char * RndStr, int LenRndStr) ; 
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: AddEntropy( Æ m& 9 kh F 77 89 12 3k) 
RndStr( 可 选择 的 用 户 定义 的 字符 串 ， 或 者 也 可 能 是 空 ， 
LenRndStr(RndStr 的 字 节 长 度 ) 
Seed 1(CLINT A% Žž Æ tj. Æ Seed 1==NULL， 则 禁止 输出 ) 


Hashres(RIPEMD-160 #7) 44495}. KAA 20 <7. HHashres—NULL, N 
禁止 输出 ) 
: 0， 如 果 成 功 
n>0, Æ n ARRAY VA ER WF oD 
E CLINT MAL， 若 在 内 存 分 配 时 出 错 





int 
GetEntropy 1 (CLINT Seed_1, UCHAR *Hashres, int AddEntropy, 
char *RndStr, int LenRndStr) 


unsigned i, j, nextfree = 0; 
MAX(AddEntropy, sizeof (time t)); 


unsigned MissingEntropy 

UCHAR *Seedbytes ; 

int BytesRead; 

int LenSeedbytes = LenRndStr + MissingEntropy + 
sizeof (time t) + 2*sizeof (ULONG); 

RMDSTAT hws; 

time_t SeedTime; 

FILE *fp; 


#if defined WIN32 && defined MSC VER 
LARGE_INTEGER PCountBuff; 
HCRYPTPROV hProvider = 0; 

#endif /* defined WIN32 && defined MSC VER? */ 


if ((Seedbytes = (UCHAR*)malloc(LenSeedbytes)) == NULL) 


{ 
return E CLINT MAL; 
} 
if (RndStr != NULL && LenRndStr > 0) 
{ 


memcpy (Seedbytes, RndStr, LenRndStr); 
nextfree = LenRndStr; 


} 
将 系统 时 间 引 入 缓冲 区 Seedbytes 中 。 
SeedTime = (time t)time(NULL ) ; 
for (i = 0; i < sizeof(time t); i++) 
{ 
j= i <<¢ 33 
Seedbytes[nextfree+i] = (UCHAR)((SeedTime >> j) & (time t)Oxff); 
} 


nextfree += sizeof (time t); 
MissingEntropy -= sizeof (time t); 
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从 WIN32 API R434 ( FSH 42] ADVAPI32 .LIB)， 


#if defined WIN32 && defined MSC VER 
if (MissingEntropy) 
{ 
链接 从 QueryPerformanceCounter 获得 的 64 位 值 。 


QueryPerformanceCounter (&PCountBuff); 
for (i = 0; i < sizeof (DWORD); i++) 
{ 
j= i << 3; 
Seedbytes[nextfree + i] = 
(char) ((PCountBuff.HighPart >> j) & (DWORD)oxff); 
Seedbytes[nextfree + sizeof (DWORD) + i] = 
(char) ((PCountBuff.LowPart >> j) & (DWORD)Oxff); 
} 


nextfree += 2*sizeof (DWORD); 
MissingEntropy -= 2*sizeof (DWORD); 

} 

链接 从 CryptGenRandom () KR 43 #4 4A: 


if (CryptAcquireContext(&hProvider, NULL, NULL, PROV_RSA FULL, 
CRYPT _VERIFYCONTEXT) ) 
{ 
if (CryptGenRandom (hProvider, MissingEntropy, &Seedbytes[nextfree])) 
{ 
nextfree += MissingEntropy; 
MissingEntropy = 0; 
} 
} 
if (hProvider) 
{ 
CryptReleaseContext (hProvider, 0); 
} 


#endif /* defined WIN32 && MSC VER */ 
ZR TIA, DW A/dev/urandom # M À. 


if ((fp = fopen("/dev/urandom", "r")) != NULL) 
{ 
BytesRead = fread(&Seedbytes[nextfree], sizeof (UCHAR), MissingEntropy, fp); 
nextfree += BytesRead; 
MissingEntropy -= BytesRead; 
fclose (fp); 


} 
HLF" 5% HE 19 H8 1B 
if (Hashres != NULL) 
{ 


ripeinit (&hws) ; 

ripefinish (Hashres, &hws, Seedbytes, nextfree); 
} 
CLINT 格式 的 整数 类 型 种 子 。 


if (Seed 1 != NULL) 


{ 
byte2clint_1 (Seed 1, Seedbytes, nextfree); 


} 

履 盖 并 删除 为 种 子 分 配 的 存储 空间 。 

SeedTime = 0; 

local_memset (Seedbytes, 0, LenSeedbytes) ; 

local_memset (&hws, 0, sizeof (hws)); 

free (Seedbytes) ; 

return MissingEntropy; 

} 

关于 获取 初始 值 更 多 的 讨论 和 方法 可 以 参阅 LCutlj、LCut2]、[LEastj 和 [Matt]-” 。 


12.2.2 BBS 随机 数 生 成 器 


一 个 针对 密码 学 ee ee L. Blum, M. Blum 和 
M. Shub 提出 的 BBS (i74E MAE. FAL M ARSE F SARE IE SER. KER AARARA DE 
其 理论 细节 ( 详 见 LBlum jj 或 LHKWJ 第 IV 章 和 VI. a 但 描述 该 过 程 并 实现 它 。 
这 里 需要 两 个 素数 p、g， 且 它们 模 4 都 余 3， 于 是 可 以 通过 p，g 得 到 一 个 模 数 n， 同 
时 得 到 一 个 与 又 互 素 的 数 X。 通 过 Xs +=X (mod n)， 可 以 得 到 一 个 整数 序列 的 初始 值 
Xu， 而 该 序列 可 以 通过 循序 地 平方 模 允 得 到 : 


Xar = X; mod ñ La 
作为 随机 数 我 们 将 每 一 个 值 X; 的 最 低位 移 除 。 haan gg ee 
化 摘 述 : 状态 集 用 S :== {0， ls =y n— L) } 表 示 ， 随机 数 用 R :二 — » UEN y 状态 转移 则 


用 函数 o: SS, g(x) = 一 mod nn 描述， 而 输出 函数 是 g: a :一 Zmod 2, 

以 此 方法 得 到 的 二 进 制 数字 构建 的 随机 序列 可 以 从 密码 学 的 角度 认为 是 安全 的 : 只 有 
当 模 数 的 因子 p 和 g 已 知 的 情况 下 才 有 可 能 从 序列 的 一 部 分 推测 出 之 前 或 之 后 的 二 进 制 数 
字 。 如 果 这 些 是 保密 的 ， 那 么 根据 现 有 的 知识 ， 为 了 能 够 以 大 于 1/2 的 概率 预测 BBS 随机 
序列 的 未 来 位 或 重 构 这 个 序列 未 知 部 分 就 必须 能 够 分 解 模 数 n。 因 此 ，BBS 生成 器 的 安全 
性 就 依赖 于 与 RSA 过 程 相同 的 原理 。 如 此 得 到 的 对 BBS 生成 器 质量 的 信任 所 花费 的 代价 
依赖 于 生成 随机 位 的 开销 。 对 于 每 一 位 ， 都 需要 对 一 个 数 求 平方 并 模 一 个 大 整数 ， 这 对 长 
序列 而 言 需要 大 量 的 计算 时 间 。 但 是 ， 随 看 较 短 位 数 的 随机 序列 的 发 展 ， 例 如 对 于 生成 一 
个 单独 的 密 钥 ， 计 算 时 间 长 这 个 问题 就 显得 不 那么 重要 了 。 在 这 种 情形 下 ， 唯 一 的 评判 准 
则 就 只 有 安全 性 了 ， 而 在 度量 安全 性 时 ， 必 须 将 获得 初始 值 的 过 程 考虑 进来 。 由 于 BBS 
生成 器 也 是 一 个 确定 性 的 过 程 ， 所 以 可 以 包括 的 “新 鲜 机 会 ”仅仅 是 前 面 一 节 描 述 的 通过 
适当 的 方法 获得 初始 值 。 

在 函数 prime 1 的 帮助 下 ， 可 以 确定 素数 p Allg, p=q=—3mod 4， 并 且 它 们 的 二 进 制 
数字 近似 相等 ， 于 是 就 有 了 模 数 n= 二 pg。 其 中 ， 从 模 数 n 到 p 和 g 的 分 解 要 尽 可 能 地 困 
难 ， 因 为 BBS 生成 需 的 安全 性 就 依赖 于 它 。 

从 初始 值 Xo 开始， 序列 中 的 下 一 个 数字 Xii = Xmod n 用 函数 SwitchRandBBS 1 () 来 
计算 ， 并 将 X;i1 的 最 低位 作为 随机 位 输出 。 而 值 Xi 本 身 则 存放 在 缓冲 区 中 作为 生成 器 


O ”对 于 高 敏感 的 应 用 ， 总 是 更 倾向 于 使 用 合适 的 硬件 组 件 来 产生 真实 的 随机 数 以 便 生 成 初始 值 甚 至 是 整个 随 
机 序列 。 
© 在 FLINT/VC 包 中 还 有 各 种 不 同 长 度 的 模 数 ， 而 其 因子 却 只 有 作者 知道 。 
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的 当前 状态 ， 并 由 调用 函数 管理 。 这 里 要 回 到 起 初 的 问题 ， 即 如 何在 第 一 次 调用 
SwitchRandBBS 1() 时 用 一 个 合适 的 初始 值 来 初始 化 这 个 缓冲 区 。 但 首先 来 实现 这 个 函数 。 


: Blum-Blum-Shub 之 后 的 确定 性 随机 数 生 成 器 
: int SwitchRandBBS 1 (STATEBBS * rstate); 


: rstate( 指 向 一 个 状态 内 存 的 指针 ) 
: rstate( 指 向 更 新 后 状态 内 存 的 指针 ) 
: 从 {0，1} 中 选取 返回 值 





int 

SwitchRandBBS 1 (STATEBBS *rstate) 

{ 

用 模 平方 继续 运行 生成 器 。 

msqr 1 (rstate->XBBS, rstate->XBBS, rstate->MODBBS) ; 

输出 rstate->XBBS 的 最 低 有 效 位 。 

return (*LSDPTR L (rstate->XBBS) & 1); 

} 

BBS Æ Stair AIW 4416 Ze PRI InitRandBBS 1 () 的 帮助 下 完成 ， 该 函数 本 身 又 会 调用 男 外 
两 个 函数 ; 图 数 GetEntropy 1 () 用 来 生成 初始 值 seed 1， 而 第 二 个 函数 seedBBS 1() 正 是 
利用 上 一 个 函数 来 计算 生成 器 的 初始 状态 。GetEntropy 1 中 可 以 有 的 新 机 会 以 及 如 何 处 
理 一 个 初始 值 在 前 面 已 经 讨论 过 了 。 


: AIS LS HK IH HH Blum-Blum-Shub 4 Mi FUR 4 MR B 
: int InitRandBBS 1(STATEBBS * rstate, char * UsrStr, 
int LenUsrStr, int AddEntropy); 
: rstate( 指 向 状态 内 存 的 指针 ) 
UsrStr( 指 向 用 户 字 符 串 的 指针 ) 


LenUsrStr( 用 户 字符 串 的 长 度 ， 以 字 节 为 单位 ) 
AddEntropy( 38 Sh Pt & tg JA 05 FF HL) 

: zstate( 指 向 初始 状态 内 存 的 指针 ) 

: 0， 如 果 成 功 
1 盖 0， 指 请 求 而 未 生成 的 字 节 数 





int 
InitRandBBS 1 (STATEBBS *rstate, char *UsrStr, int LenUsrStr, int AddEntropy) 
{ 
CLINT Seed 1; 
int MissingEntropy; 
RP BS A FE te HK a EEK 7 HE 1. 
MissingEntropy = GetEntropy_1 (Seed _1, NULL, AddEntropy, UsrStr, LenUsrStr); 
生成 内 部 初始 状态 。 
SeedBBS 1 (rstate, Seed 1); 
通过 重 写 删除 初始 值 。 
local_memset (Seed 1, 0, sizeof (CLINT)); 
return MissingEntropy; 


} 


第 12 草 XK MMR 177 


实际 的 生成 器 初始 化 是 由 函数 seedBBS_1 完成 的 。 


功能 : 为 randbit 1() 和 randBBS 1() 设 置 初始 值 
语法 : int seedBBS 1(STATEBBS * rstate, CLINT seed 1); 
输入 : rstate( 指 向 状态 内 存 的 指针 ) 


seed 1( 初 始 值 ) 
输出 : rstate( 指 向 初始 状态 内 存 的 指针 ) 
: E CLINT OK， 如 果 成 功 
E CLINT RCP， 如 果 初 始 值 和 模 数 不 互 素 





int 
seedBBS 1 (STATEBBS *rstate CLINT seed 1) 
{ 
CLINT g 1; 
str2clint 1 (rstate->MODBBS, (char *)MODBBSSTR, 16); 
gcd 1 (rstate->MODBBS, seed 1, g 1); 
if (!EQONE L (g 1)) 
{ . 
return E CLINT_RCP; 
} 
msqr (seed 1, rstate->XBBS, rstate->MODBBS) ; 
设置 标志 : 初始 化 PRNG。 
rstate->RadBBSInit = 1; 
return E CLINT OK; 
} 
UCHAR 类 型 的 随机 数 通 过 函数 bRandBBS 1 () 生 成 ， 函 数 ucrandé4 1() 也 是 。 


: UCHAR 类 型 的 随机 数 生 成 
: UCHAR bRandBBS 1 (STATEBBS * rstate); 
: rstate( 指 向 初始 状态 内 存 的 指针 ) 


: rstate( 指 向 更 新 后 状态 内 存 的 指针 ) 





: UCHAR 类 型 的 随机 数 
UCHAR 
bRandBBS 1 (STATEBBS *rstate) 
{ 
int is 


UCHAR r = SwitchRandBBS 1 (rstate); 
for (i = 1; i < (sizeof (UCHAR) << 3); i++) 


{ 
r = (r << 1) + SwitchRandBBS 1 (rstate); 
} 
return Y; 


} 
HTHPE, 3X ANE A HE PAL sRandBBS 1() 和 lRandBBS 1()， 这 两 个 函数 分 别 
生成 USHORT 类 型 和 ULONG 类 型 的 随机 数 。 
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这 里 依然 缺少 函数 RandBBS 1， 它 用 来 生成 随机 数 =_ 1， 使 得 其 位 数 为 1， 即 2” 二 
r 1 县 2 一 1。 由 于 该 函数 很 大 程度 上 与 rand 1() 相 对 应 ， 所 以 这 里 就 省 去 了 话 细 的 描述 ， 
仅仅 给 出 函数 头 部 。 当 然 ， 这 些 函 数 都 包含 在 FLINTVC 包 中 。 为 了 删除 状态 缓冲 区 ， 需 
Be FA ll pki BW PurgeRandBBS 11()。 


: CLINT 类 型 的 随机 数 生 成 
: int RandBBS 1(CLINT r 1,STATEBBS * rstate, int 1); 
: rstate( 伪 随机 数 生成 器 的 内 部 状态 ) 
1( 生 成 的 随机 数 的 二 进 制 位 数 ) 
i oc IE 2" '<r 1<2'—-1 LH MMH) 
: E CLINT OK， 如 果 成 功 


E CLINT RIN， 如 果 生 成 器 未 初始 化 





: 删除 RandBBS 的 内 部 状态 
: void PurgeRandBBS 1(STATEBBS * rstate); 
: rstate( 伪 随机 数 生成 器 的 内 部 状态 ) 

: rstate( 生 成 器 的 内 部 状态 ， 以 重 写 方 式 删除 ) 





12.2.3 AES 生成 器 


构建 随机 数 生 成 器 的 另 一 种 可 能 是 利用 对 称 分 组 加 密 系 统 ， 该 方法 的 统计 特性 和 
密码 学 特性 都 已 经 说 明 它 非 第 适合 伪 随 机 数 的 生成 。 这 里 可 以 借助 高 级 加 密 标 准 
(AES) 来 阐述 清楚 ， 而 作为 现代 分 组 加 密 系统 的 代表 ，AES 在 安全 性 和 速度 方面 的 性 
能 都 很 突出 ” 。 

用 K 表示 代码 空间 ，D 表示 明文 分 组 空间 ， 集 合 CH= 10, e, cl}, Hic 为 常 
数 ， 则 状态 集 可 以 用 RandAES 通过 S :二 KXDXC 来 定义 。 状 态 函 数 可 以 描述 如 下 : 


p:S 一 Ssøolk,x,i) :二 (ECR, 227) AES, (x) ,i lmod c) (12-4) 
其 中 
| = Omod c 
ECR 2X52) — sail — 
k DAES, (x2) i= 0mod c 
而 输出 函数 


pS > Ry kat) = 2/2 mod 2° (12-5) 

常数 c 指定 密 钥 更 新 的 频率 ， 以 便 防 止 从 之 前 的 状态 推测 一 个 新 状态 。 更 高 安全 性 的 
代价 是 花 更 多 的 时 间 来 初始 化 密 钥 。 最 安全 但 也 最 慢 的 生成 器 变种 使 用 c= 1 

通过 计数 器 : 以 连续 的 步骤 从 输出 值 中 选择 不 同 的 字 节 位 置 可 以 使 生成 器 的 输出 不 断 

基于 AES 的 伪 随 机 数 生成 天 RandAES 的 初始 化 是 通过 函数 InitRandAES 1 完成 的 。 


O AES 扩 展 形式 的 分 组 长 度 为 192 位 。 标 准 AES 规定 分 组 为 128 位 ， 而 基础 算法 Rijndael 则 被 设计 可 用 于 分 
组 长 度 为 256 位 的 加 密 。 


: AES 伪 随 机 数 生 成 器 的 初始 化 和 精 生 成 
int InitRandAES 1(STATE * rstate,char * UsrStr, 
int LenUsrStr, int AddEntropy, int update); 
rstate( 指 向 状态 内 存 的 指针 ) 
UsrStr( 指 向 用 户 字 符 串 的 指针 ) 


LenUsrStr( 用 户 字 符 串 的 长 度 ， 以 字 节 为 单位 ) 


AddEntropy( 人 额外 需要 的 粒 的 字 节 数 ) 
update(AES 密 钥 的 更 新 频率 ) 
: rstate( 指 向 初始 化 状态 内 存 的 指针 ) 
: OK， 如 果 成 功 
n>0, i Rin KA mR 09 HF HK 


int 
InitRandAES 1 (STATEAES *rstate, char *UsrStr, int LenUsrStr, 
int AddEntropy, int update) 
{ 
int MissingEntropy, i; 
初始 值 的 生成 。MissingEntropy A ik t æ M Sap AR fe M a FO HK, 
MissingEntropy = GetEntropy_1 (NULL, rstate->XAES, AddEntropy, 
UsrStr, LenUsrStr); 
初始 化 AES, 
for (i = 0; i < 32; i++) 
{ 
rstate->RandAESKey[i] “= RandAESKey[i]; 
} 


AESInit 1 (&rstate->RandAESWorksp, AES ECB, 192, NULL, 
&rstate->RandAESSched, rstate->RandAESKey, 256, AES ENC); 
第 一 个 状态 转换 ， 生 成 初始 状态 。 
AESCrypt 1 (rstate->XAES, &rstate->RandAESWorksp, 
&rstate->RandAESSched, rstate->XAES, 24); 


设置 密 钥 更 新 频率 的 参数 。 
rstate->UpdateKeyAES = update; 
初始 化 步 计 数 器 。 


rstate->RoundAES = 1; 
设置 初始 化 标志 。 
rstate->RandAESInit = 1; 


return MissingEntropy; 


} 
状态 函数 SwitchRandAES 1() 实 现 如 下 : 


: 基于 高 级 加 密 标准 (AES) 的 确定 性 的 伪 随 机 数 生 成 器 
int SwitchRandAES 1 (STATE * rstate); 
: rstate( 指 向 状态 内 存 的 指针 ) 


: rstate( 指 向 更 新 状态 内 存 的 指针 ) 
: 1 字 节 的 随机 数 
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UCHAR 
SwitchRandAES 1 (STATEAES *rstate) 
{ 

int i; 

UCHAR rbyte; 

g:S = S,p(k,z,1) 2 一 CECR,»2 51) » AES, (x) 并 十 lmod c) 
改变 状态 。 缓 冲 区 rstat->XAES 中 的 内 容 对 应 于 函数 的 参数 r. 
AESCrypt 1 (rstate->XAES, &rstate->RandAESWorksp, 
&rstate->RandAESSched, rstate->XAES, 24); 


pS > R pki i) t= B/D mod 2 
rbyte = rstate->XAES[(rstate->RoundAES)++ & 15]; 
如 果 设 定 了 参数 与 并 达到 了 预 描述 的 轮 数 ， 则 更 新 密 铀 。 
if (rstate->UpdateKeyAES) 


{ 
if (0 == (rstate->RoundAES % rstate->UpdateKeyAES) ) 


{ 
for (i = 0; i < 32; i++) 
{ 
rstate->RandAESKey[i] “= rstate->XAES[i]; 


} 
AESInit 1 (&rstate->RandAESWorksp，AES ECB，192，NULL， 
&rstate->RandAESSched, rstate->RandAESKey, 256, AES ENC); 


} 
return rbyte; 


} 
2’ '<r 1<2'—1 上 的 随机 数 r 1 由 函数 RandaES 1() 生 成 ， 其 函数 首部 如 下 给 出 : 


: CLINT 类 型 的 随机 数 生 成 
: int RandAES 1(CLINT r 1,STATEAES * rstate, int 1l); 
: rstate( 伪 随机 数 生 成 器 的 内 部 状态 ) 

1( 生 成 的 随机 数 的 二 进 制 位 数 ) 


: 工 1( 在 2 '<r 1 委 2 一] 上 的 随机 数 ) 
: E CLINT OK， 如 果 成 功 
E CLINT RIN， 如 果 生 成 器 未 初始 化 





为 外 ， 在 random.h 中 还 定义 了 宏 bRandAES 1()、sRandAES 1() 和 1lRandAES 1(), 4 
个 函数 都 以 初始 化 的 状态 缓冲 区 作为 参数 ， 并 分 别 生成 UCHAR, USHORT 和 ULONG 类 型 的 
随机 数 。 

与 RandBBS 类 似 ， 生 成 器 的 删除 函数 如 下 : 


#12% XK MMR 181 


功能 : 删除 RandAES 的 内 部 状态 
语法 : void PurgeRandAES 1 (STATEAES * rstate) ; 

输入 : rstate( 伪 随机 数 生 成 器 的 内 部 状态 ) 

输出 : zstate( 为 随机 数 生 成 器 的 内 部 状态 ， 以 重 写 方式 删除 ) 


12.2.4 RMDSHA-1 生成 器 


接 下 来 要 介绍 的 伪 随 机 数 生 成 带 是 通过 散 列 函数 SHA-1 和 RIPEMD-160 构建 的 。 这 
两 个 图 数 的 计算 都 非常 快 ， 这 可 以 使 得 生成 需 达 到 极 佳 的 性 能 。 

在 笨 入 值 、 计 数 器 、 状 态 和 输出 值 分 别 定义 为 卫 : 王 {0，…，2“ 一 1)、C :一 (0，…， 
c—1}, S*=DXCURR :一 (0，…，2 一 1}， 则 状态 函数 可 以 表示 为 : 


p:S -> S,o(zyi) := (RIPEMD-160(x) ,i + 1mod c) (12-6) 
而 输出 函数 可 以 定义 为 : 
J:S— Ry(x,i) := SHA-1 (x) /2 imod 1 mod 28 (12-7) 


在 RandAES 的 情形 中 ， 输 出 随 着 计数 器 i 的 逐步 改变 而 改变 ， 于 是 变化 字 节 的 位 置 就 被 
选 为 输出 的 值 。 生 成 带 的 初始 化 通过 限 数 InitRandRMDSHA1 () 一/ 完成: 


: RIPEMD-160/SHA-1 擅 随 机 数 生 成 器 的 初始 化 与 炳 生成 
: int InitRandRMDSHA1 1(STATERMDSHAI1 * rstate, 
char * UsrStr, int LenUsrStr, int AddEntropy) ; 
: rstate( 指 向 状态 内 存 的 指针 ) 
UsrStr( 指 向 用 户 字符 串 的 指针 ) 


LenUsrStr( 用 户 字 符 串 的 长 度 ， 以 字 节 为 单位 ) 
AddEntropy( àn 9+} & % a4 JA 05 FPA) 

: rstate( 指 向 初始 化 状态 内 存 的 指针 ) 

: OK， 如 果 成 功 
n>0, im RK m KEM FH 





int 
InitRandRMDSHA1 1 (STATERMDSHA1 *rstate, char *UsrStr, 
int LenUsrStr, int AddEntropy) 

{ 

int MissingEntropy; 
初始 值 的 生成 。MissingEntropy É fik t Æ PY & Ap A fe A tg tw HL. 
MissingEntropy = GetEntropy 1 (NULL, rstate->XRMDSHA1, AddEntropy, 

UsrStr, LenUsrStr); 

第 一 个 状态 转换 ， 生 成 初始 状态 。 
ripemd160 1 (rstate->XRMDSHA1, rstate->XRMDSHA1, 20); 
初始 化 步 计 数 器 i 
rstate->RoundRMDSHA1 = 1; 
设置 初始 化 标志 。 

rstate->RandRMDSHA1Init = 1; 


return MissingEntropy; 


} 
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每 次 被 调用 时 ， 状 态 函 数 SwitchRandRMDSHA1 1() 输 出 一 个 随机 字 节 : 


功能 : 基于 散 列 函数 SHA-1 和 RIPEMD-160 的 确定 性 的 伪 随 机 数 生 成 器 
语法 : int SwitchRandRMDSHA1 1(STATE * rstate); 


输入 : zstate( 指 向 状态 内 存 的 指针 ) 
输出 : rstate( 指 向 更 新 状态 内 存 的 指针 ) 





: 1 字 节 的 随机 数 
UCHAR 
SwitchRandRMDSHA1 1 (STATERMDSHA1 *rstate) 
{ 
UCHAR rbyte; 
p: S — R, prsi) :一 SHA-lkz)12 ™" 1 mod 2° 
生成 随机 数 。 


shal 1 (rstate->SRMDSHA1, rstate->XRMDSHA1, 20); 
rbyte = rstate->SRMDSHA1[ (rstate->RoundRMDSHA1)++ & 15]; 


应 用 函数 
o:S > S,g(2,i) := (RIPEMD-160(2) ,z + lmod c) 
VAP ERA. 
ripemd160 1 (rstate->XRMDSHA1, rstate->XRMDSHA1, 20); 


return rbyte; 


} 
2 Kr 1<2'—1 上 随机 数 =_ 1 由 图 数 RandRMDSHA1_1 () 生 成 ， 其 函数 首部 如 下 


给 出 : 


: CLINT 类 型 的 随机 数 生 成 
: int RandRMDSHA1 1(CLINT r l, STATERMDSHAl * rstate, ant L)? 
: rstate( 伪 随机 数 生成 器 的 内 部 状态 ) 

1( 生 成 的 随机 数 的 二 进 制 位 数 ) 


> r 1( 在 2! 入 rr 1 二 2 一 1 上 的 随机 教 ) 
: E CLINT OK， 如 果 成 功 
E CLINT RIN， 如 果 生 成 器 未 初始 化 





同样 ， 对 于 该 生成 部 ， 在 random.h 中 也 定义 了 宏 bRandRMDSHA1 1 () 、sRandRMDSHR1 
1() 和 1RandRMDSHA1 1() ， 每 个 图 数 都 以 初始 化 的 状态 缓冲 区 作为 参数 分 别 生 成 UCHAR, 
USHORT 和 ULONG 类 型 的 随机 数 。 

最 后 ， 对 于 敏感 的 应 用 ， 随 机 数 生 成 器 的 内 部 状态 也 需要 一 个 函数 来 删除 : 


: 删除 Rand RMDSHA-1 的 内 部 状态 
: void PurgeRandSHA1 1(STATERMDSHA1 * rstate); 


: rstate( 伪 随机 数 生成 器 的 内 部 状态 ) 
: rstate( 生 成 器 的 内 部 状态 ， 以 重 写 方式 删除 ) 
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12.3 质量 测试 

为 了 研究 随机 数 生 成 器 的 质量 ， 人 们 开发 出 了 大 量 理论 或 经 验 的 测试 方法 来 检测 随机 
数 序列 的 结构 性 质 。 

根据 应 用 领域 的 不 同 ， 除 了 对 序列 的 统计 需求 外 ， 还 必须 考虑 应 用 于 密码 学 中 的 随机 
序列 能 确保 在 未 获得 秘密 信息 知识 的 情况 下 ， 序 列 是 不 可 预测 的 并 且 也 无 法 从 序列 的 少量 
元 素 中 重新 生成 序列 ， 以 此 来 防御 攻击 者 重 构 密 钥 或 从 序列 中 获取 密 钥 。 

例如 ， 德 国信 息 技 术 安 全 人 研究 所 (German Institute for Security in Information 
Technology) 在 LBSI2j 中 给 出 了 评估 确定 性 随机 数 生 成 器 功能 分 类 和 质量 准则 。 该 规范 建 
立 了 4 个 安全 级 别 : 

K1: 由 随机 数组 成 的 随机 矢量 的 序列 应 该 以 很 高 的 概率 保证 不 包含 完全 相同 的 连续 元 
素 。 随 机 数 的 统计 特性 并 不 重要 ， 随 机 矢量 的 长 度 和 错误 的 概率 依赖 于 应 用 。 

K2: 基于 统计 测试 生成 的 随机 数 应 该 与 真实 的 随机 数 不 可 区 分 。 而 所 用 的 测试 包括 单 
个 位 检验 、 扑 殉 检 验 、LBSI2] 和 LFIPSj 中 的 游程 检验 和 长 游程 检验 ， 以 及 其 他 自 相 关 性 的 
统计 测试 。 总 而 言 之 ， 需 要 验证 一 个 给 定 的 位 序列 (或 者 这 样 序 列 的 一 部 分 ) 符 合 以 下 
条 件 : 

e0 和 1 出 现 的 频数 相等 。 

e7 个 0( 或 1) 的 序列 的 下 一 位 是 1( 或 0) 的 概率 是 1/2。 

e 一 个 给 定 的 输出 不 包含 下 一 个 输出 的 任何 信息 。 

K3: 对 于 攻击 者 的 实际 目的 ， 他 不 可 能 通过 已 知 的 随机 数 序列 计算 或 猜测 之 前 或 未 来 
的 随机 数 或 者 生成 硕 的 内 部 状态 。 

K4: 对 于 攻击 者 的 实际 目的 ， 他 不 可 能 通过 生成 器 的 内 部 状态 计算 或 猜测 之 前 的 随机 


12.3.1 卡 方 检验 


为 了 处 理 评估 K2 特性 的 检验 ， 首 先 来 看 看 卡 方 检验 (也 写作 “X 检验 ”)， 该 检验 与 
Kolmogorov-Smirnov 检验 是 拟 合 度 检验 中 最 重要 的 两 个 检验 。 卡 方 检验 给 出 了 经 验 获 得 
概率 分 布 与 理论 期 望 的 概率 分 布 之 间 吻 合 的 程度 。 卡 方 检验 计算 统计 值 

2 =, CHIX D —a pe) 

Ia a aes 
其 中 对 i 个 不 同 的 事件 X;， 指 派 HX ) 为 事件 X; 的 观测 频率 ，pr(X;) 为 XX; 出 现 的 概率 ， 
n 为 观测 次 数 。 该 分 布 对 应 的 情形 ， 视 作 随 机 变量 的 统计 值 x 的 期 望 值 为 E(X )=t 一 1。 
对 于 给 定 的 错误 概率 ， 导 致 两 个 分 布 相等 的 检验 假设 拒绝 的 贱 值 可 以 从 自由 度 为 1 一 1 的 
卡 方 分 布 表 ( 详 见 LBosl ]4. 1 节 ) 获 得 。 

卡 方 检验 经 常 与 实证 检验 一 起 来 度量 其 结果 与 理论 计算 的 分 布 之 间 的 吻合 程度 。 用 该 
方法 检验 本 天 {0，…，w 一 1) 内 均匀 分 布 (此 为 检验 假设 ) 的 随机 数 序列 X; 是 非常 方便 的 。 
即 假设 W 中 的 每 一 个 数 都 有 相同 的 概率 p= 二 1/w， 因 此 也 可 以 推断 在 个 随机 数 久 ; 中 ， 
每 个 数 在 W 中 都 近似 出 现 n/w 次 (这 里 假设 n 二 w)。 但是, 事实 可 能 并 非 完 全 如 此 ， 因 为 
E n PENA X: 中 一 个 给 定 的 值 w€EW 出 现 k 次 的 概率 P, 是 如 下 给 出 的 


(12-8) 


_— ce ie = (12-9) 
k Ein— IY P 
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事实 上 ， 二 项 分 布 有 最 大 值守 n/w， 但 是 概率 P= 二 (1 一 p)” 和 P, =p" BRAS. E 
随机 行为 的 假设 下 ,根据 二 项 分 布 可 以 得 到 在 序列 X; 中 值 w EW 的 频率 h,。 该 事实 可 以 
通过 卡 方 检验 来 验证 ， 计 算 | 

y= >, Soret ey h? —n (12-10) 

对 多 个 随机 样本 (X， 的 部 分 序列 ) 重 复 多 次 该 检验 。 一 个 对 卡 方 检验 的 粗略 估计 可 以 
将 问题 简化 为 在 大 多 数 情况 下 检验 结果 X 都 会 落 在 区 间 [w 一 2 Vw，w 十 2 vol. FW, 
该 给 定 序列 就 被 证 明 缺 乏 随机 性 。 据 此 ， 判 断 错 误 的 概率 大 约 为 2%， 即 根据 卡 方 检 验 将 
一 个 事实 上 “好 的 ”随机 序列 判定 为 “不 好 的 ”概率 为 2% 。 在 这 个 意义 上 说 ， 给 定 边 界 
所 引起 的 10“ 的 错误 概率 可 以 通过 下 面 的 检验 来 解释 。 设 定 上 下 界 使 得 一 个 “ 半 合 理 的 ” 
概率 生成 器 可 以 几乎 总 是 通过 该 检验 ， 这 样 在 随机 数 生 成 器 中 基于 统计 弱点 的 针对 密码 学 
算法 的 已 知 攻击 都 会 失效 ( 见 LBSI2],， 第 7 WO. 

上 面 讨论 的 ISO-C 标准 中 的 线性 同 余生 成 器 可 以 通过 这 样 的 简单 检验 ， 同 样本 书 为 
FLINT/C 包 实 现 的 伪 随 机 数 生 成 器 也 可 以 通过 这 样 的 检验 。 


12. 3.2 单位 检验 


对 于 2500 字 节 或 20 000 位 的 随机 序列 ,检验 0 和 1 的 出 现 次 数 是 否 近 似 相 等 。 若 
20 000 位 序列 中 1( 即 置 位 ) 的 个 数 在 [9654，10 346] 内 ， 则 该 序列 以 10 环 的 错误 概率 通过 
检验 ( 见 [BSI2] 和 [FIPS])，。 


12. 3.3 扑克 检验 


扑克 检验 是 卡 方 检验 w= 16 H. ”一 5000 的 一 个 特例 。 将 一 个 生成 的 随机 数 序列 以 4 位 
为 单位 分 成 不 同 的 段 ， 并 对 这 4 位 所 表示 的 16 种 可 能 的 0/1 子 序列 出 现 的 频数 进行 计数 。 

对 于 该 检验 的 一 次 执行 ， 一 个 20 000 位 组 成 的 序列 将 分 成 5000 个 段 ， 每 段 4 位 。 计 
数 16 种 可 能 的 4 位 段 的 频数 hh，(0 三 i 三 15)。 硅 检验 通过 ， 则 根据 LBSI2] 和 [LFIPS] 中 的 
规范 ， 值 


T — 5000 (12-11) 
必须 在 L1. 03，57. 40] 内 ， 其 对 应 的 错误 概率 为 10“。 但 是 ， 若 度量 值 在 上 面 提 到 的 [w 一 
2vVow，uw 十 2 Vwj] 二 [8，24] 之 外 ， reg 且 错 误 率 较 高 ， 为 0. 02. 


表 12-1 根据 LBSI2] 和 [FIPS] 各 种 
长 度 的 游程 的 容许 区 间 


12. 3.4 游程 检验 









一 个 游程 是 相同 位 (0 或 1) 的 序列 。 该 检验 计 < 
数 各 种 游程 长 度 的 频数 并 核对 与 期 望 值 的 偏差 。 在 je 
一 个 20 000 位 的 序列 中 ， 计 数 所 有 相同 类 型 (长 度 3 [502，748] 
和 位 值 ， 如 2 个 1 的 游程 ) 的 游程 。 若 各 种 数值 都 4 [233, 402] 
5 [90, 223 | 
6 


在 表 12-1 所 示 的 区 间 中 ， 则 该 检验 通过 (错误 概率 
Hio EY, 


[90, 233] 





O 值得 注意 的 是 ， 当 样本 的 空间 足够 大 时 ， 该 检验 才 有 效 : 样本 空间 的 大 小 必须 至 少 为 n= 5w( 见 [Bos2]， 
6.17); 者 n 的 值 更 大 ， 则 更 合适 。 
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12.3.5 长 游程 检验 


作为 游程 检验 的 扩展 ， 长 游程 检验 是 核对 是 否 存 在 相同 位 组 成 的 序列 的 长 度 超过 给 定 
HKEE. Z 20 000 位 的 序列 中 不 存在 长 度 为 34 或 以 上 的 游程 ， 则 该 检验 通过 。 


12.3.6 自 相 关 检 验 


自 相 关 检 验 提 供 生成 的 位 序列 中 可 能 存在 的 相关 性 信息 。 对 于 一 个 10 000 位 的 序列 ， 
bytes booo Alt, Æ 0<Kt<5000 内 ， 计 算 值 


5000 


Wi = 57b, D ba (12-12) 
4 Z, y EKE] 2327, 2673 |] 内 ， 则 检验 通过 ， 且 错误 概率 为 10“( 见 LBSI2 |AILFIPS]). 


12.3.7 FLINT/CLINT 随机 数 生 成 器 的 质量 


为 了 说 明 K2 特性 ， 这 里 执行 了 对 输出 宽度 为 8 位 的 随机 数 生 成 化 的 统计 检验 。 在 
2312 次 独立 的 检验 中 ， 对 超过 20 000 个 随机 位 进行 计算 。 所 有 的 检验 结果 都 在 要 求 的 
范围 内 。 同 时 ， 还 计算 了 平均 值 ， 如 表 12-2 所 示 。 因 此 ， 这 里 给 出 的 生成 器 可 以 归 为 
K2 头 。 


R 12-2 FLINT/C 随机 数 生成 器 的 检验 结果 













Rand64 RandRMDSHA- 1 RandBBS RandAES 容许 区 间 


单个 位 9997. 29 10 000. 11 9999. 15 9998. 66 [9654, 10 346] 
扑克 15.11 4, 15. 19 15. 01 C1. 03, 57.40] 
游程 长 度 为 1 2499. 55 501. 2500. 02 2499. 86 (2267, 2733 ] 
游程 长 度 为 2 1250. 29 a 1249. 38 1249. 48 [1079, 1421] 
游程 长 度 为 3 625. 05 4. 95 625. 07 625. 22 [502, 748] 
游程 长 度 为 4 312. 16 312. 32 312. 87 312. 59 [233, 402] 
游程 长 度 为 5 156. 29 56. 2: 156. 15 156. 11 [90, 223] 
游程 长 度 为 6 156. 36 56. : 156. 23 156. 41 [90, 233] 

长 游程 0. 00 0. 00 0. 00 0. 00 LO, 0] 


自 相 关 2500. 79 2500. 06 2501. 00 2500. 10 (2327, 2673 | 


K3 类 要 求 对 于 一 个 给 定 序 列 r;，rii1，…，ri;， 攻 击 者 无 法 确定 其 前 继 者 与 后 继 
者 ， 且 无 法 确定 任何 内 部 状态 。 对 于 RandAES 生成 器 ， 这 等 同 于 针对 AES 加 密 过 程 的 
严重 攻击 的 可 能 性 ， 即 能 够 通过 获取 密 文 而 产生 明文 或 密 钥 。 据 目前 所 知 ， 并 不 存在 这 
样 的 攻击 。 而 且 ，AES 被 认为 是 高 强度 的 密码 机 制 ， 因 此 基于 此 的 生成 器 就 可 以 归 为 
KZŽ, 

BEM c 的 值 为 1， 则 在 每 一 轮 中 都 创建 立 一 个 新 的 密 钥 ki :==E(k; ，Zz，i 一 1) 王 
ki-i DAES, (zx)。 由 于 此 运算 ， 就 不 能 通过 当前 的 内 部 状态 ;; 确定 之 前 的 内 部 状态 或 密 
钥 s;;， 所 以 根据 RandAES 的 内 部 状态 不 可 能 通过 一 个 子 序列 确定 该 子 序列 的 前 继 者 。 于 
是 ， 当 c= 二 1 时 ，RandAES 可 以 归 为 K4 类 ， 

对 RandRMDSHAL 的 分 析 也 类 似 。 由 于 SHA-1 的 单 向 性 ， 无 法 从 子 序列 中 确定 生成 
器 的 内 部 状态 ， 所 以 该 子 序 列 的 前 继 者 与 后 继 者 都 无 法 确定 。 这 一 点 保证 了 RandRMD- 
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SHA] 属于 K3 类。 由 于 RIPEMD-160 具有 相同 的 性 质 ， 所 以 从 生成 器 的 内 部 状态 获得 之 
前 的 状态 ， 同 时 也 就 无 法 确定 前 继 者 。 因 此 随机 数 生 成 器 RandRMDSHA1 可 以 归 为 
K4 &. 

关于 该 领域 的 进一步 知识 可 以 查阅 LKnutj。 特 别 地 ， 在 LNiedj 中 可 以 找到 随机 数 生成 
器 理论 评估 的 一 个 较 好 的 分 析 。 本 章 中 构造 随机 数 生 成 器 的 想法 和 表 12-2 中 检验 结果 的 
表示 类 型 是 从 LSalij 中 获得 的 。LFIPSj 中 包含 了 关于 检验 随机 序列 的 程序 方法 。 


12.4 更 复杂 的 函数 


本 节 将 给 出 几 个 随机 数 和 随机 素数 生成 右 的 函数 ， 同 时 还 有 一 些 边 界 条 件 ， 而 这 些 条 
件 并 不 局 限于 某 个 具体 的 随机 数 生成 器 。 另 外 ， 给 出 了 通过 参数 来 选择 生成 喜 的 方法 。 这 
里 有 必要 将 合适 的 状态 存储 作为 参数 传递 。 通 过 语句 : 
struct InternalStatePRNG 
{ 
STATERMDSHA1 StateRMDSHA1; 
STATEAES StateAES; 
STATEBBS StateBBS; 
int Generator; 
}; 
扩展 结构 
typedef struct InternalStatePRNG STATEPRNG; 
该 结构 包含 了 前 面 介 绍 的 随机 数 生成 絮 的 状态 存储 和 状态 变量 Generator， 该 变量 规 
定 了 用 该 结构 实现 哪 种 随机 数 生成 融 。 
这 样 定 义 后 ， 就 可 以 创建 函数 InitRand 1()、Rand 1()、lRand 1()、sRand 1(), 
bRand 1 () 和 PurgeRand () 。 用 InitRand 1() 对 生成 器 进行 初始 化 并 被 随后 的 随机 数 函 
数 调 用 。 随 机 数 函 数 本 身 需 要 一 个 指向 初始 化 结构 STATEPRNG 的 指针 作为 参数 。 


: 对 一 个 指定 的 随机 数 生成 器 进行 初始 化 并 生成 炳 
: int InitRand 1(STATEPRNG * xrstate, char * UsrStr, 


int LenUsrStr, int AddEntropy, int Generator) ; 
: UsrStr( 初 始 化 随机 数 生 成 器 的 字 节 数组 ) 
LenUsrStr(UsrStr 的 长 度 ， 以 字 节 为 单位 ) 
AddEntropy( ff #284 JÀ t FPA) 
Generator( 初 始 化 的 随机 数 生 成 器 : 
FLINT RND64 
FLINT RNDRMDSHA1 
FLINT RNDAES 
FLINT RNDBBS) 
: Xrstate( 随 机 数 生 成 器 新 的 内 部 状态 ) 
: 0， 如果 成 功 
n>0, H Rm A ER HA FO HK 
n 二 0， 如 果 指 定 的 生成 器 不 存在 ; 默认 初始 化 RND64， 或 者 |n| 指 请 求 而 未 
生成 的 精 字 节 数 








int 

InitRand 1 (STATEPRNG *xrstate, char *UsrStr, int LenUsrStr, 
int AddEntropy, int Generator) 

{ 


int error; 


switch (Generator) 
{ 

case FLINT RNDBBS: 

error = InitRandBBS 1 (&xrstate->StateBBS, (char*)UsrStr, 
LenUsrStr, AddEntropy) ; 

xrstate->Generator = FLINT RNDBBS; 
break; 

case FLINT RNDRMDSHA1: 
error = InitRandRMDSHA1 1 (&xrstate->StateRMDSHA1, (char*)UsrStr, 

LenUsrStr, AddEntropy) ; 

xrstate->Generator = FLINT RNDRMDSHA1; 
break; 

case FLINT RNDAES: 
error = InitRandAES 1 (&xrstate->StateAES, (char*)UsrStr, 

LenUsrStr, AddEntropy, 10); 

xrstate->Generator = FLINT RNDAES; 
break; 

case FLINT_RND64: 
error = InitRand64 1 ((char*)UsrStr, LenUsrStr, AddEntropy) ; 
xrstate->Generator = FLINT RND64; 
break; 

default: 
InitRand64 1 ((char*)UsrStr, LenUsrStr, AddEntropy) ; 
xrstate->Generator = FLINT RND64; 
error = -AddEntropy; 

} 


return error; 


} 


用 FLINT/C 伪 随 机 数 生 成 器 生成 CLINT KA HMMA r l, HHP WIS 
r 1 二 2'。 通 过 调用 带 合适 参数 的 初始 化 函数 InitRand 1 进行 初始 化 。 

int Rand 1 (CLINT r 1,STATEAES * xrstate, int 1); 
xrstate( 伪 随机 数 生成 器 初始 化 后 的 内 部 状态 ) 

rmin 1(r 1 #4 F FR) 

rmax 1(r 1 的 上 限 ) 


r 1( 伪 随机 数 ) 
xrstate( 伪 随机 数 生成 器 的 新 内 部 状态 ) 

E CLINT OK， 如 果 成 功 

E CLINT RGE, 如 果 rmin 1 之 rmax 1 

E CLINT RNG， 如 果 xrstate 指定 的 生成 器 出 错 
E CLINT _ RIN， 如果 指定 生成 器 未 初始 化 或 不 存在 








int 
Rand 1 (CLINT r l, STATEPRNG *xrstate, int 1) 


{ 
int error = E CLINT OK; 


switch (xrstate->Generator) 
{ 
case FLINT RNDBBS: 
error = RandBBS 1 (r l, &xrstate->StateBBS, 
MIN (l, (int)CLINTMAXBIT) ) ; 
break; 
case FLINT RNDAES: 
error = RandAES 1 (r 1, &xrstate->StateAES, 
MIN (1, (int)CLINTMAXBIT)); 


break; 
case FLINT RNDRMDSHA1: 


error = RandRMDSHA1 1 (r 1, &xrstate->StateRMDSHA1, 
MIN (l, (int)CLINTMAXBIT)); 

break; 

case FLINT RND64: 
rand 1 (r 1, MIN (1, (int)CLINTMAXBIT)); 
break; 

default: 
rand 1 (r 1l, MIN (l, (int)CLINTMAXBIT)); 
error = E CLINT RIN; 

} 


return error; 


} 
剩余 的 随机 数 函 数 只 能 与 其 相关 的 签名 一 起 执行 。 


生成 UCHAR, USHORT 和 ULONG 类 型 的 伪 随 机 数 。 通 过 调用 带 合适 参数 的 初 
始 化 函数 InitRand 1 进行 初始 化 。 

UCHAR bRand 1 (STATEPRNG * xrstate); 

USHORT sRand 1 (STATEPRNG * xrstate); 


ULONG lRand 1(STATEPRNG * xrstate); 
xrstate( 伪 随机 数 生 成 器 初始 化 后 的 内 部 状态 ) 
: Xrstate( 伪 随机 数 生成 器 的 新 内 部 状态 ) 
: UCHAR、USHORT 和 ULONG 类 型 的 伪 随 机 数 。 





可 以 用 如 下 函数 删除 随机 数 生 成 融 的 内 部 状态 : 


: 删除 伪 随 机 数 生成 器 的 内 部 状态 
int PurgeRandAES 1 (STATEAES * xrstate); 
: Xrstate( 伪 随机 数 生成 器 的 内 部 状态 ) 


xrstate( 生 成 器 的 内 部 状态 ， 以 重 写 方式 删除 ) 
: E CLINT OK， 如 果 成 功 
E CLINT RIN， 如 果 xrstate 未 指定 FLINT/C 生成 器 
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还 有 一 些 函数 可 以 用 来 确定 大 的 随机 素数 。 我 们 从 [rs，rwx] 上 搜索 随机 数 开始 。 这 
是 函数 Rana 1 () 的 泛 化 。 


用 FLINT/C 伪 随 机 数 生 成 器 确定 CLINT 类 型 的 随机 数 1, HP rmin l<r 
lK rmax 1。 通 过 调用 带 合适 参数 的 初始 化 函数 InitRand 1 进行 初始 化 。 
int RandlMinMax 1 (CLINT r 1,STATEAES * xrstate, 

CLINT rmin 1, CLINT rmax 1); 
xrstate( 伪 随机 数 生成 器 初始 化 后 的 内 部 状态 ) 
rmin 1(r 1 的 下 限 ) 


rmax 1(r 1 的 上 限 ) 

r_1( 伪 随机 数 ) 

xrstate( 伪 随机 数 生 成 器 新 的 内 部 状态 ) 

E CLINT OK， 如 果 成 功 

E CLINT RGE, 如 果 rmin 1>rmax 1 

E CLINT RNG， 如 果 xrstate 指定 的 生成 器 出 错 

E_CLINT RIN， 如 果 指 定 的 生成 器 未 初始 化 或 不 存在 ， 则 返回 





int 
RandMinMax 1 (CLINT r l, STATEPRNG *xrstate, CLINT rmin 1, CLINT rmax 1) 
{ 
CLINT t 1; 
int error = E CLINT OK; 
USHORT 1 = ld 1 (rmax 1); 
可 能 性 : rmin l<rmax 1 Æ GML? 
if (GT L (rmin 1, rmax 1)) 
{ 
return E CLINT RGE; 
} 
形成 辅助 变量 七 1 := rmax l- rmin 1+1, 
sub 1 (rmax l, rmin 1, t 1); 
inë d. (t Lys 
搜索 小 于 或 等 于 2m 的 随机 数 。 
switch (xrstate->Generator) 
{ 
case FLINT RNDAES: 
error = RandAES 1 (r 1, &xrstate->StateAES, 
MIN (1, (int)CLINTMAXBIT)); 
break; 
case FLINT RNDRMDSHA1: 
error = RandRMDSHA1 1 (r 1l, &xrstate->StateRMDSHA1, 
MIN (1, (int)CLINTMAXBIT)); 
break; 
case FLINT RNDBBS: 
error = RandBBS 1 (r 1, &xrstate->StateBBS, 
MIN (1, (int)CLINTMAXBIT)); 
break; 
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case FLINT RND64: 
rand 1 (r 1, MIN (1, (int)CLINTMAXBIT)); 
error = rand 1 (r 1, MIN (1, (int)CLINTMAXBIT)); 
break; 
default: 
return E CLINT RNG; 


} 
if (E_CLINT OK != error) 
{ 


return error; 
} 
计算 r lmodt l+rmin 1. 
mod 1 (l; El. z 1) 
add 1 (£ 1, mmn 1, x 1); 
return error; 
} 
可 以 用 函数 RandMinMax 1() 来 搜索 区 间 [Lran，rasxj] 内 的 素数 p， 且 其 满足 另外 的 条 件 ， 
即 p 一 1 与 fA. AW FRA KM FindPrimeMinMaxGed 1() 来 搜索 这 样 的 数 : 


判定 随机 数 p 是 否 为 素数 的 算法 ， 其 中 ron<pSrox, Bi ged(p—1, f)=1, 
参考 [ IEEE | 

D BS Bais [C ran OAA ls Be Dlr 1/2 J 

2) 随机 地 生成 整数 R， 满 足 Renin Kk Lk ma o 

3) 4 7 二 

4) 计算 d=gced(p—1. f). 

5) #d=1, ie pH. SpAKK, Fd<ged(p—l, P., FM, 047K 2, 


功能 : 用 FLINT/C 伪 随 机 数 生 成 器 确定 CLINT 类 型 的 随机 数 vr 1, HP rmin l<r 
_1<rmax l, H gcd(p 1- 1,f 1)= 1。 通 过 调用 带 合适 参数 的 初始 化 函 
数 InitRand 1 进行 初始 化 。 

语法 : int FindPrimelMinMaxGcd 1 (CLINT p 1,STATEAES * xrstate, 


CLINT rmin 1, CLINT rmax 1, CLINT f 1); 
输入 : xrstate( 伪 随机 数 生 成 器 初始 化 后 的 内 部 状态 ) 
rmin 1(p 1 的 下 限 ) 
rmax 1(p 1 的 上 限 ) 
f 1( 应 与 p 1 互 素 的 整数 ) 
: p 1( 伪 随机 数 ， 概率 确定 的 素数 ) 
xrstate( 伪 随机 数 生 成 器 的 新 内 部 状态 ) 
: E CLINT OK， 如 果 成 功 
E CLINT RGE, 如 果 rmin 1> rmax 1 A f 1 为 偶数 ,或 在 给 定 的 边界 条 
件 内 为 找到 素数 
E CLINT RNG， 如 果 xrstate 指定 的 生成 器 出 错 
E_CLINT_RIN， 如 果 指 定 的 生成 器 未 初始 化 或 不 存在 
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int 
FindPrimeMinMaxGcd 1 (CLINT p_1, STATEPRNG *xrstate, CLINT rmin 1, 
CLINT rmax 1, CLINT f 1) 


{ 

CLINT t_l, rmini_l, gi; 

CLINT Pi rmin 1, Pi_rmax_l, NoofCandidates 1, junk 1; 

int error; 
检查 1 是 否 为 奇数 。 
if (ISEVEN L (f 1)) 

{ 

return E CLINT RGE; 

} 
评估 在 rmin l, rmax 1] 内 数 的 素性 ， 并 将 结果 存放 在 NoofCandidates 1 内 。 
udiv 1 (rmin 1, ld 1 (rmin 1), Pi rmin 1, junk 1); 
udiv 1 (rmax 1, ld 1 (rmax 1), Pi rmax 1, junk 1); 
sub 1 (Pi rmax 1, Pi rmin 1, NoofCandidates 1); 
令 rmin_1<-[(rmin 1-1)/21。 
dec 1 (rmin 1); 
div 1 (rmin 1, two 1, rmin 1, junk 1); 
if (GTZ_L (junk 1)) 

{ 

ine 1 (rmin 1); 

} 
令 rmax_1<-|(rmax_ 1-1)/2]. 
dec 1 (rmax_1); 
shr 1 (rmax 1); 
do 

{ 
判断 候选 素数 是 否 已 经 减 为 零 ， 以 便 确定 终止 条 件 。 若 已 减 为 零 ， 则 在 给 定 的 边界 条 

+A ARS RIK. WHR RAE CLINT RGE 表示 。 

if (EQZ_L (NoofCandidates 1)) 


{ 
return (E_CLINT RGE); 


} 

确定 随机 数 。 

if (E_CLINT_OK != (error = RandMinMax 1 (p_l, xrstate, rmin 1, rmax 1))) 
{ 


return error; 


} 
令 候选 素数 P_ 1<-2* p 1+1， 于 是 P 1 为 奇数 。 
shl 1 (p D); 
ine. 1 (p 1)s 
cpy 1 (rmin1 1, p 1); 
dec 1 (rmin1 1); 
gcd L (xmin1_1, f_1, g 1); 
dec 1 (NoofCandidates 1); 
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while (!(EQONE L (g 1) && ISPRIME L (p_1))); 


return error; 
} 
如 下 的 两 个 函数 是 上 面 函数 的 副产品 。 第 一 个 函数 生成 指定 二 进 制 位 数 的 伪 随 机 数 同 
时 该 数 与 指定 的 整数 互 素 。 为 此 需要 使 用 上 面 的 函数 FindPrimeMinMaxGcd 1 (): 


功能 : 用 FLINTVC 伪 随 机 数 生成 器 确定 CLINT 类 型 的 伪 随 机 素数 + 1， 其 中 2 
<p 1<2', Hgcd(p l- 1,f 1)= 1。 通 过 调用 带 合适 参数 的 初始 化 函数 
InitRand 1 进行 初始 化 。 
int FindPrime 1(CLINT p 1,STATEAES * xrstate, 

USHORT 1, CLINT f 1); 
: xrstate( 伪 随机 数 生 成 器 初始 化 后 的 内 部 状态 ) 
1(p 1 的 二 进 制 位 数 ) 


f 1( 应 与 p 1 互 素 的 整数 ) 

: PpP_1( 伪 随机 数 ， 概 率 确 定 的 素数 ) 
xrstate( 伪 随机 数 生成 器 的 新 内 部 状态 ) 

: E CLINT OK， 如 果 成 功 
E CLINT RNG， 如 果 xrstate 指定 的 生成 器 出 错 
E CLINT RGE， 如 果 1= ORL 1 为 奇数 
E CLINT RIN， 如 果 指 定 的 生成 器 未 初始 化 





int 
FindPrimeGcd 1 (CLINT p 1, STATEPRNG *xrstate, USHORT 1, CLINT f 1) 
{ 
CLINT pmin 1; 
clint pmax 1[CLINTMAXSHORT + 1]; int error; 
if (ð == 1) 
{ 
return E CLINT RGE; 
} 
SETZERO L (pmin 1); 
SETZERO L (pmax 1); 
setbit 1 (pmin 1, 1 - 1); 
setbit 1 (pmax 1, 1); 
dec 1 (pmax 1); 
error = FindPrimeMinMaxGcd 1 (p 1, xrstate, pmin 1, pmax 1, f_1); 


return error; 
} 
最 后 为 了 避免 互 素 的 条 件 ， 可 以 在 调用 FindPrimeGcd 1(p 1, xrstate, 1, one 1) 时 传 


功能 : 用 FLINT/C 伪 随 机 数 生 成 器 确定 CLINTKRA HMMA pl, HPA I< 


r 1]<< 2 。 通 过 调用 带 合适 参数 的 初始 化 函数 进行 初始 化 。 





int 


: int FindPrime 1(CLINT p 1,STATEAES * xrstate, 
USHORT 1); 

: Xrstate( 伪 随机 数 生成 器 初始 化 后 的 内 部 状态 ) 
1(p 1 的 二 进 制 位 数 ) 

: p 1( 伪 随机 数 ， 概 率 确定 的 素数 ) 


xrstate( 伪 随机 数 生 成 器 新 的 内 部 状态 ) 


: E CLINT OK， 如 果 成 功 


E CLINT RNG， 如 果 xstate 指定 的 生成 器 出 错 
E CLINT RGE， 如 果 1= 0 
E CLINT RIN， 如 果 指 定 的 生成 器 未 初始 化 


FindPrime 1 (CLINT p 1, STATEPRNG *xrstate, USHORT 1) 


{ 


return (FindPrimeGcd 1 (p 1, xrstate, l, one _1)); 


} 
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David A. Spuler: (C++ and C Debugging, 
Testing, and Code Reliability) 


在 前 几 章 中 ， 我 们 多 次 遇 到 测试 单个 函数 的 提示 。 如 果 没 有 有 意义 的 测试 来 保证 软件 
包 的 质量 ， 那 么 所 有 的 工作 都 将 是 白费 的 ， 也 无 从 建立 对 函数 可 靠 性 的 信心 。 因 此 ， 我 们 
现在 把 注意 力 集中 在 这 个 重要 的 问题 上 ， 并 提出 两 个 所 有 软件 开发 者 都 应 该 关注 的 问题 : 

1) 如 何 能 够 确定 软件 函数 是 依照 其 规格 说 明 书 运行 的 ， 对 于 我 们 的 情况 ， 就 是 它们 在 
数学 上 是 正确 的 吗 ? 

2) 如 何 能 够 使 软件 的 运行 稳定 且 可 靠 ? 

尽管 这 两 个 问题 密切 相关 ， 但 它们 关注 的 却 是 两 个 不 同 领域 的 问题 。 一 个 函数 可 以 在 数 
学 上 不 正确 ， 例 如 底层 的 算法 被 错误 地 实现 ， 但 它 能 可 靠 稳 定 地 重复 这 个 错误 ， 在 给 定 输 入 
的 情况 下 它 总 是 给 出 相同 的 错误 输出 。 而 在 另 一 种 情况 中 ， 表 面 上 返回 了 正确 结果 的 函数 却 
可 能 被 其 他 类 型 的 错误 所 干扰 ， 数 组 长 度 越界 、 错 误 的 变量 初始 化 等 都 会 导致 不 可 知 的 行 
为 ， 这 些 行 为 即使 使 用 合适 的 (或 者 应 该 说 ， 不 合适 的 ) 测 试 条 件 仍然 无 法 进行 测试 。 

因此 我 们 需要 关注 这 两 个 方面 ， 并 制定 和 开发 测试 方法 ， 使 我 们 对 程序 的 正确 性 和 可 
靠 性 有 充足 的 信心 。 许 多 出 版 物 都 讨论 了 软件 开发 过 程 中 这 些 广泛 需求 的 意义 和 结果 ， 并 
深入 研究 了 软件 质量 问题 。 人 们 对 这 一 话题 的 关注 已 经 有 所 体现 ,尤其 表现 在 制定 ISO 
9000 软件 开发 标准 的 国际 趋势 中 。 在 这 件 事 上 ,我 们 不 再 仅仅 说 “测试 ”或 “质量 保 
证 >， 而 是 说 “质量 管理 ”或 “全 面 质 量 管理 ”。 从 某 种 程度 上 来 说 ， 这 两 者 是 有 效 营销 的 
产物 ， 但 它们 也 使 软件 质量 的 问题 得 到 适当 的 关注 ,使 人 们 从 多 个 方面 考虑 软件 创建 的 过 
程 并 加 以 改进 。 我 们 频繁 使 用 的 短语 “软件 工程 ”也 无 法 阻止 我 们 认识 这 样 一 个 事实 : 由 
于 软件 质量 管理 涉及 可 预测 性 和 精确 性 ， 所 以 一 般 来 说 其 过 程 是 不 能 与 工程 学 传统 学 科 相 
比较 的 。 

下 面 的 笑话 可 以 恰当 地 描述 这 个 比较 : 有 一 个 机 械 工程 师 、 一 个 电气 工程 师 和 一 个 软 
件 工 程 师 决 定 一 起 开车 旅行 ， 他 们 在 车 中 坐 好 后 却 发 现 汽车 发 动 不 了 。 这 时 机 械 工 程 师 立 
即 说 :“ 发 动机 的 问题 ， 喷 油嘴 墙 住 了 。”“ 胡 说 ,” 电 气 工程 师 反 驳 道 ,“ 是 电子 设备 ， 点 
火 系 统 肯 定 出 故障 了 。” 这 时 软件 工程 师 建 议 道 :“ 我 们 先 下 车 再 重新 坐 进来 ， 也许 汽车 就 
能 发 动 啦 。” 

我 们 不 进一步 追究 这 三 个 强悍 工程 师 的 对 话 和 冒险 ， 而 是 继续 思考 在 实施 FLINT/C 包 
的 创建 和 测试 中 的 一 些 选择 。 我 们 首先 参考 下 面 的 文献 ， 它 们 没有 给 出 抽象 难 懂 的 事项 和 指 
南 ， 而 是 切实 地 用 具体 的 指导 解决 具体 的 问题 ， 并 在 整个 过 程 中 又 不 失 对 整体 的 考虑 ? 。 这 
些 书籍 中 的 每 个 都 引用 了 许多 关于 这 个 课题 进一步 研究 的 重要 文献 : 


O 这 里 列举 的 书籍 只 代表 作者 个 人 的 主观 选择 。 由 于 时 间 和 空间 的 缺乏 ， 我们 只 好 忽略 许多 其 他 也 应 列举 于 此 
的 书籍 和 出 版 物 。 
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@ [Dene] 是 关注 整个 软件 开发 过 程 的 标准 性 工作 。 这 本 书包 含 许 多 基于 作者 亲身 体验 
的 方法 指示 以 及 大 量 清晰 实用 的 例子 。 测 试 这 个 主题 关系 到 编程 和 系统 集成 的 各 个 
阶段 。 在 这 些 过 程 中 概念 和 方法 基础 与 实际 的 观点 统一 加 以 讨论 ， 所 有 这 些 又 都 与 
一 个 完全 设计 好 的 示例 工程 相 结合 。 

LHarbj] 包 含 了 对 C 语言 和 C 标准 库 的 完整 描述 ， 还 给 出 了 许多 对 ISO 标准 中 规定 
的 有 价值 的 指点 和 评论 。 这 是 一 本 不 可 缺少 的 参考 著作 ， 值 得 在 任何 地 方 引用 。 
[Hattj 介 绍 了 用 C 编写 安全 关键 软件 系统 的 细节 。 它 用 具体 的 例子 和 统计 学 方法 演 
示 了 典型 的 经 验 和 错误 的 来 源 一 一 C 语言 当然 会 有 很 多 出 错 的 机 会 。 书 中 也 给 出 了 
许多 综合 的 方法 性 建议 ， 如 果 加 以 注意 ,会 使 软件 产品 的 可 信和 度 得 以 提升 。 

@ [Lindj 是 一 本 杰出 且 幽 默 的 书 ， 它 揭示 了 对 C 编程 语言 的 深刻 理解 。 作 者 知道 如 何 
将 他 的 理解 传达 给 读者 。 谈 论 的 许多 话题 都 可 以 用 来 支持 副标题 “你 知道 ……… na?” 
而 只 有 极 少数 读者 能 够 问心 无 愧 地 给 出 肯定 的 回答 。 

[ Magu | 专注 于 子 系统 的 设计 ， 因 此 我 们 尤其 感 兴趣 。 书 中 讨论 了 接口 的 注释 以 及 
处 理 带 输入 参数 的 函数 的 原则 ， 也 阐明 了 风险 编程 和 保守 编程 的 区 别 。 有 效 地 用 汤 
言 ( 参 见 第 8 章 ) 作 为 测试 手段 以 及 如 何 避 人 免 不 确定 性 的 程序 状态 也 是 书 中 的 重点 。 
LMurpj] 包 含 了 大 量 用 于 测试 程序 的 测试 工具 ， 使 用 它们 只 需 很 小 的 努力 就 能 立即 
得 到 良好 的 效果 。 该 书 还 在 它 的 随 书 光盘 中 实现 了 断言 、 动 态 内 存 对 象 处 理 的 测试 
以 及 报告 测试 的 覆盖 度 ， 我 们 对 FLINT/C 函数 的 测试 也 用 到 了 这 些 功 能 。 
LSpulj 概 览 了 C 和 C++ 语言 中 测试 程序 的 方法 和 工具 ， 并 给 出 了 大 量 使 用 这 些 方 
法 和 工具 的 指导 。 该 书 广泛 地 概述 了 C 和 C++ 中 典型 的 编程 错误 ， 并 讨论 了 认识 
及 消除 它们 的 方法 。 


13.1 静态 分 析 


行 一 


测试 方法 可 以 分 为 两 类 : 静态 测试 和 动态 测试 。 第 一 类 进行 代码 检查 ， 该 方法 通过 一 
行 仔细 地 检查 源 代码 来 发 现 一 些 问 题 ， 如 偏离 规范 (这 里 ， 是 指 所 选择 的 算法 )、 推 理 


错误 、 代 码 行 安排 或 格式 规范 错误 、 可 疑 架 构 以 及 多 余 代码 序列 的 存在 。 


代码 检查 通过 分 析 工 具 进 行 ， 如 广为人知 的 UNIX lint 工具 ， 这 些 工 具 可 以 自动 进 


行 这 一 繁琐 的 任务 。 起 初 ，lint 的 主要 用 途 之 一 是 弥补 C 语言 早期 存在 的 缺陷 ， 即 在 分 
开 编 写 的 模块 中 对 传递 给 函数 的 参数 进行 一 致 性 检查 。 同 时 ， 也 有 一 些 比 传统 的 lint 更 
方便 的 产品 ， 它 们 能 发 现 大 量程 序 代 码 中 的 潜在 问题 ， 这 些 错误 中 仅 有 一 小 部 分 会 因为 语 
法 错误 使 编译 器 最 后 无 法 正常 转换 为 代码 。 下 面 列 举 几 个 能 够 通过 静态 分 析 发 现 的 问题 : 


o 语法 错误 。 

@ 国 数 原 型 的 缺失 或 不 一 致 。 

@ 问 胃 数 传递 参数 时 的 不 一 致 。 

@ 引用 或 连接 不 相 容 的 类 型 。 

@ 使 用 未 初始 化 的 变量 。 

@ 不 可 移植 的 结构 。 

o 对 特定 语言 结构 的 不 常规 或 不 恰当 的 使 用 。 

@ 不 可 达 的 代码 序列 。 

目 动工 具 进 行 严 格 类 型 检查 的 一 个 重要 条 件 是 使 用 函数 原型 。 借 助 于 原型 ， 符 合 ISO 


的 C 编译 器 就 可 以 在 所 有 的 模块 中 对 传递 给 函数 的 参数 类 型 进行 检查 ， 发 现 其 中 的 不 一 
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致 。 许 多 编译 器 还 可 以 用 于 源 代 码 分 析 ， 只 要 启动 适当 的 警告 等 级 ， 它 们 就 可 以 发 现 许多 
问题 。 比 如 免费 软件 基金 会 的 GNU 项 目 中 的 C/C++ 编译 器 ， 就 拥有 超过 平均 水 平 的 分 析 
功能 ， 这 些 功能 可 以 通过 选项 -wall -ansi 和 -pedantic HHS. 

为 了 在 FLINT/C 函数 中 设置 静态 测试 ， 除 了 许多 不 同 编译 恬 (参见 第 1 章 ) 中 执行 的 
测试 外 ， 主 要 还 使 用 Gimpel 软件 (版 本 7.5; 参见 LGimpj) 的 PC-lint 以 及 弗吉尼亚 大 学 中 
安全 编程 组 织 的 Splint( 版 本 3.1.1; 参见 LEvanj)s 。 

经 证 明 PC-lint 是 一 个 非常 有 用 的 测试 C 和 C++ 程序 的 工具 。 它 可 以 识别 大 约 2000 
种 不 同 的 问题 ， 并 使 用 基于 有 限 方 法 的 机 制 ， 在 运行 和 诊断 时 将 源 于 代码 的 变量 加 载 到 目 
动 变量 。 这 样 ， 许 多 常常 只 能 在 运行 时 才 测 试 出 的 问题 (如 数组 越界 )， 就 可 以 在 静态 分 析 
中 被 发 现 。 

除了 这 些 工具 外 ， 可 免费 获取 的 Splint 也 适用 于 Linux 系统 。Splint 分 为 4 种 模式 
(weak、standard、check、strict)， 每 种 模式 都 关联 特定 的 预 设 ， 并 进行 不 同 严 格 程 
度 的 测试 。 除 了 典型 的 lint 功能 外 ，Splint 还 可 以 通过 源 代 码 中 专门 格式 化 的 注释 来 测 
试 特 别 的 规范 。 这 样 ， 就 可 以 表示 图 数 实 现 和 调用 的 边界 条 件 ， 并 检查 它们 是 否 与 规范 一 
致 ， 此 外 还 可 能 提供 额外 的 语义 控制 。 

对 于 不 具有 补充 规范 的 程序 ， 推 荐 将 模式 设置 为 -weak 选 项 作为 标准 。 不 过 ， 根 据 手 
册 的 说 明 ， 第 一 个 能 在 Splint 的 -strict 模式 下 编写 出 无 错误 的 “ 真 程 序 ” 的 人 ， 将 得 到 
特殊 的 奖励 。 作 为 以 恰当 的 方式 使 用 这 两 个 工具 的 前 提 和 条件， 经 证 明 在 测试 FLINT/C K 
数 时 ， 我 们 需要 精确 地 测试 使 用 了 哪个 选项 ， 并 创建 相应 的 用 户 参 数 文件 ， 以 便 配 置 工 具 
供 个 人 使 用 。 

广泛 修正 FLINT/C 代码 之 后 ， 在 测试 阶段 的 最 后 ， 这 两 个 工具 都 没有 产生 任何 经 仔 
细 检 查 后 认为 很 严重 的 警告 。 这 一 点 给 了 我 们 希望 ， 前 面 我 们 为 FLINT/C 函数 的 质量 设 
定 了 条 件 ， 通 过 满足 这 些 条 件 我 们 取得 了 一 定 成 果 。 


13.2 运行 时 测试 

运行 时 测试 的 目的 应 该 是 证 明 一 个 软件 的 结构 单元 满足 它 的 规格 说 明 书 。 为 了 给 予 测 
试 足够 的 表达 力 ， 以 便 证 明 在 开发 和 运行 中 耗费 的 时 间 和 人 金钱 是 值得 的 ， 我 们 必须 对 它们 
提出 与 科学 实验 一 样 的 要 求 : 这 些 测 试 必须 完全 被 记录 ， 它 们 的 结果 必须 是 可 复制 的 且 能 
够 被 局 外 人 检查 。 此 外 我 们 有 必要 区 分 单个 模块 测试 和 整体 系统 测试 ， 尽 管 它们 之 间 的 界 
线 是 不 固定 的 (参见 LDene]16. 1 4). 

为 了 在 测试 模块 时 达到 这 个 目的 ， 构 造 的 测试 用 例 必须 使 函数 能 够 尽 可 能 被 全 面 彻底 
地 测试 ， 也 就 是 说 ， 被 测试 的 函数 要 尽 可 能 大 地 被 覆盖 到 。 多 种 度量 方式 可 以 用 于 建立 测 
试 覆 盖 范 围 ， 比 如 在 C0 Ze ite RE HP IU et pw A RR Pe TMS MAB, AR ep oe 
指令 没有 被 执行 。 还 有 比 C0 覆盖 度 更 有 力 的 度量 方式 ， 专 注 于 执行 的 分 支 的 一 部 分 (Cl 
RAR), 或 者 执行 的 函数 路 径 的 一 部 分 。 其 中 最 后 一 个 是 比 前 两 个 复杂 得 多 的 测量 方法 。 

每 种 情况 的 目的 都 是 通过 彻底 检查 软件 接口 行为 的 测试 用 例 达 到 最 大 的 覆盖 度 。 这 包 
含 两 个 关联 并 不 密切 的 方面 : 一 个 执行 函数 所 有 分 支 的 测试 驱动 可 能 仍然 会 遗漏 错误 ; 另 
一 方面 ， 我 们 也 可 以 构造 用 例 ， 使 郴 数 所 有 的 特性 都 被 测试 到 ， 即 使 忽略 函数 的 一 些 分 


O BARERA EAP Linux 发 布 中 ， 也 可 以 从 http://www. leo. org 获得 。 
© Splint 继承 于 由 麻 省 理工 学 院 和 数字 设备 公司 (DEC) 联 合 开发 的 工具 LCLint。SPLing 可 以 在 网 址 http: // 
splint. cs. virginia. edu/ 找到。 
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支 。 因 此 ， 测 试 的 质量 则 至 少 可 以 从 两 个 角度 来 度量 。 

如 果 为 了 达到 高 测试 覆盖 率 ， 那 么 简单 地 基于 规格 说 明 书 上 的 知识 来 建立 测试 用 例 是 
不 够 的 ， 这 会 导致 所 谓 的 黑金 测试 ; 在 构造 测试 用 例 时 考虑 执行 细节 是 很 有 必要 的 ， 这 样 
的 方法 称 为 白金 测试 。4. 3 节 中 的 除法 算法 就 是 这 样 一 个 例子 ， 我们 根据 规格 说 明 书 为 函 
数 的 一 个 特殊 分 支 创 建 了 一 些 测 试用 例 ， 为 了 测试 步骤 5， 在 4.3 节 的 除法 步骤 5 的 检验 
全 中 指定 了 一 些 特殊 的 测试 数据 ， 它 们 可 以 使 相关 的 代码 执行 。 另 一 方面 ， 用 于 测试 除 以 
小 除数 的 特殊 测试 数据 的 必要 性 ， 只 有 在 我 们 认为 这 一 过 程 是 函数 div_1() 的 特殊 部 分 时 
才 显 现 出 来 。 这 里 涉及 无 法 从 算法 本 身 推理 出 来 的 执行 细节 。 

在 实践 中 ， 最 终 往往 采用 沥 日 盒 混合 的 方法 ， 在 LDene] 中 巧妙 地 称 之 为 友 金 测试 。 然 
而 ， 我 们 永远 不 能 期 望 达到 100% 的 覆盖 度 ， 就 像 下 面 的 思虑 所 论证 的 : 假设 我 们 用 Miller- 


Rabin 测试 以 很 大 的 迭代 次 数 ( 比 如 50 次 ) 和 相对 小 的 错误 率 (二 ) ~10 “(参见 10.5 


他 ) 生 成 素数 ， 然 后 用 一 个 更 进一步 的 确定 性 的 素性 测试 来 检验 所 得 到 的 素数 。 由 于 根据 
第 二 个 测试 的 输出 ， 控 制 流 将 通 向 程序 的 一 个 分 支 或 男 一 个 分 支 ， 所 以 实际 上 没有 相应 的 
机 会 到 达 只 有 出 现 否定 测试 结果 才 执 行 的 分 支 。 然 而 ， 在 程序 使 用 时 ， 有 争议 的 分 支 被 执 
行 的 概率 是 很 小 的 ， 因 此 在 测试 时 直接 忽略 这 方面 的 测试 可 能 比 更 改 代码 语义 来 人 为 地 创 
建 测试 可 能 性 更 容易 。 因 此 ， 在 实践 中 ， 往往 需 要 放弃 100% WKB REM AR. AER 
用 什么 度量 方法 。 

对 FLINT/C 包 中 算数 函数 的 测试 主要 是 从 数学 的 角度 进行 的 ， 因 此 极 具 挑战 性 。 我 
们 如 何 能 确定 大 数 的 加 法 、 乘 法 、 除 法 或 者 此 运算 是 否 得 到 了 正确 的 答案 呢 ? 计 算 嚣 一般 
只 能 进行 与 C 编译 器 的 标准 算数 函数 相同 数量 级 的 计算 ， 所 以 这 两 者 对 我 们 的 测试 意义 
不 大 。 

诚然 ， 我 们 可 以 选择 通过 建立 必要 的 接口 并 转换 数字 格式 ， 以 及 通过 使 函数 相互 竞 
争 ， 从 而 利用 其 他 的 算数 软件 包 作 为 测试 工具 。 但 是 这 种 方法 有 两 个 缺陷 : 首先 ， 这 并 不 
公正 ; 其 次 ， 我 们 必须 拉 心 自问 ， 为 什么 要 相信 和 别人 的 实现 呢 ， 我 们 对 它 的 了 解 远 远 不 如 
自己 产品 。 因 此 我 们 应 该 寻求 其 他 可 能 的 测试 方法 ， 并 为 此 采用 有 充足 宛 余 识别 出 软件 中 
计算 错误 的 数学 结构 和 法 则 。 这 样 我 们 就 能 在 附加 测试 输出 和 新 的 符号 调试 器 的 帮助 下 发 
现 错误 。 

因此 我 们 应 该 有 选择 地 遵循 黑 盒 方法 ， 在 本 章 的 后 面 我 们 和 希望 为 运行 时 测试 制订 一 个 
可 用 的 测试 方案 ， 使 之 本 质 上 遵循 FLINT/C 函数 测试 的 实际 过 程 。 在 制订 过 程 中 我 们 的 
目标 是 达到 高 Cl 覆盖 度 ， 尽 管 我 们 并 没有 对 此 做 出 度量 。 

FLINT/C 函数 需要 测试 的 性 质 不 是 很 多 ， 但 并 不 是 没有 实质 的 。 尤 其 是 ， 我 们 必须 
做 到 下 面 这 几 条 : 

@ 所 有 函数 在 整个 定义 域 上 都 能 生成 正确 的 计算 结果 。 

o 尤其 是 ， 能 正确 地 处 理 函 数 中 的 特殊 代码 段 所 提供 的 输入 值 。 

o 正确 地 处 理 上 洲 和 下 洲 ， 即 所 有 的 算术 运算 都 要 执行 模 N matlo 

© 前 导 零 不 会 影响 运算 结果 。 

© 累加 髓 模式 下 调用 的 以 相同 内 存 对 象 作为 参数 的 函数 ， 如 add 1(n l, n 1, n 1)， 能 

够 返回 正确 的 结果 。 

© 所 有 的 除 零 操作 都 会 被 发 现 并 产生 适当 的 错误 信息 。 

为 了 满足 列表 上 的 要 求 ， 我 们 需要 许多 单独 的 测试 函数 ,它们 调用 需要 测试 的 
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FLINT/C 运算 以 便 检查 其 结果 。 测 试 函 数 集合 在 测试 模块 中 ， 并 在 FLINT/C 函数 使 用 
它们 之 前 ， 它 们 也 都 经 过 了 测试 。 为 了 测试 测试 函数 ， 我 们 使 用 与 静态 分 析 FLINT/C K 
数 相同 的 标准 和 方法 ， 此 外 ， 测 试 函 数 至 少 应 该 借助 符号 调试 器 以 单 步 模式 在 抽样 检查 的 
基础 上 执行 ， 以 便 确定 它们 的 测试 目标 是 否 正确 。 为 了 确定 测试 函数 是 否 真 的 恰当 地 反映 
了 错误 ， 我 们 有 必要 故意 在 算术 函数 中 设置 会 导致 错误 结果 的 差错 (然后 在 测试 阶段 之 后 
不 露 痕 迹地 移 除 这 些 差 销 )。 

由 于 我 们 不 能 测试 CLINT 对 象 定义 域 中 的 所 有 值 ， 所 以 除了 固定 预 设 的 测试 值 外 ， 还 需 
要 从 定义 域 [0，N | 中 随机 生成 符合 均匀 分 布 的 输入 值 。 为 些 ， 我 们 使 用 函数 rand 1 
(r 1，bitlen)， 该 图 数 利 用 图 数 usrand64 1() 模 (MAX;, 十 1)， 随 机 地 在 区 间 | Os 
MAX, ] 中 生成 二 进 制 位 数 为 bitlen 的 数 。 首 先 被 测试 的 必须 是 第 12 章 中 讨论 的 伪 随 机 数 
生成 函数 ， 使 用 卡 方 检验 和 一 些 其 他 方法 来 测试 限 数 usrand64 1 () Fil usrandBBS 1 () 的 统 
计 学 质量 。 此 外 ， 我 们 必须 保证 图 数 rand 1() 和 ranqBBS 1() 能 正确 地 生成 CLINT 数字 
格式 并 返回 恰好 为 预 设 长 度 的 数 。 所 有 其 他 输出 CLINT 对 象 的 函数 也 应 进行 这 一 测试 。 为 
了 发 现 格式 不 对 的 CLINT 参数 ， 我 们 使 用 了 函数 vcheck 1()， 因 此 它 被 放 在 测试 序列 的 
最 开始 。 

大 部 分 测试 的 进一步 要 求 是 确定 相等 或 不 相等 的 可 能 性 ， 以 及 比较 CLINT 对 象 所 表示 
的 整数 的 大 小 。 我 们 也 需要 测试 函数 ld 1()、equ 1()、mequ 1() 和 cmp 1 ()。 这 可 以 
用 预定 义 的 或 随机 的 数字 完成 ， 所 有 的 情况 都 会 被 测试 到 一 一 相等 或 不 相等 以 及 相应 的 大 
小 关系 。 

根据 用 途 的 不 同 ， 预 定义 值 的 输入 可 以 使 用 函数 str2clint 11() 或 者 作为 unsigned 
类 型 使 用 转换 函数 u2clint 1() 、ul2clint 1()， 以 最 优 的 方式 执行 。 与 str2clint 1 
() 互 补 的 函数 xclint2str 1() 用 来 生成 测试 的 输出 。 于 是 在 需要 测试 的 函数 列表 中 紧 接 
着 出 现 的 就 是 这 些 函 数 。 为 了 测试 字符 串 函 数 ， 我 们 利用 它们 的 互补 性 并 检查 依次 执行 这 
些 困 数 是 否 会 生成 原始 字符 串 ， 或 者 是 以 CLINT 格式 输出 值 的 倒序 。 我 们 在 后 面 会 反复 地 
用 到 这 个 原理 。 

现在 还 需要 测试 第 9 章 中 的 动态 寄存 器 和 它们 的 控制 机 制 ， 一般 我 们 希望 将 它们 包括 
在 测试 函数 中 。 将 寄存 器 作为 动态 分 配 的 内 存 使 我 们 能 够 测试 FLINT/C RA, TEX E pK 
数 中 我 们 为 分 配 内 存 的 函数 malloc () 额 外 实现 了 一 个 调试 库 。 这 样 一 个 既 有 公共 产品 又 
有 商业 产品 (参见 LSpulj,， 第 11 章 ) 的 软件 包 中 的 一 个 典型 函数 ， 是 检查 维护 动态 分 配 内 
存 边界 的 函数 。 通 过 访问 CLINT 寄存 器 ， 我 们 可 以 密切 关注 FLINT/C 函数: 每 次 边界 
渗透 到 外 部 存储 区 域 都 将 被 报告 。 

实现 这 个 重 定 向 的 一 个 典型 机 制 调用 malloc () 执 行 一 个 特殊 的 测试 函数 ， 该 函数 接 
收 内 存 请 求 ， 轮 流 调 用 malloc()， 并 因此 分 配 比 实际 请 求 稍 微 大 一 些 的 内 存 。 内 存 块 被 
分 配 在 一 个 内 部 数据 结构 中 ， 并 在 最 初 请 求 内 存 的 “ 右 ” 和 “ 左 ” 分 别 构造 一 个 多 字 节 的 
帧 ， 帧 中 填充 宛 余 模式 ， 如 交替 的 二 进 制 0 和 1。 接 着 返回 一 个 指向 帧 中 未 使 用 内 存 的 指 
针 。 然 后 调用 free () 执 行 对 该 函数 的 调试 shell。 在 分 配 的 块 被 释放 之 前 ， 要 先 检 查 帧 是 
否 完 整 以 及 模式 是 否 被 破坏 或 复写 ， 在 存在 问题 则 产生 一 个 适当 的 消息 ， 并 从 寄存 器 列表 
中 将 内 存 去 除 。 这 时 函数 free () 实 际 上 才 被 调用 。 在 应 用 程序 结束 时 ， 我 们 可 以 用 内 部 
寄存 器 列表 检查 是 否 有 内 存 区 域 被 释放 了 以 及 是 哪个 内 存 区 域 。 为 了 测试 在 shell 中 重复 
对 malloc() 和 free() 的 调用 ， 我 们 用 # include 文件 中 定义 的 宏 来 实现 。 

还 利用 [Murp] 中 的 ResTrack 包 来 进行 FLINT/C 函数 的 测试 。 它 可 以 在 特定 的 情况 
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下 发 现 CLINT 变量 数组 的 微小 越界 ， 否 则 这 些 越界 可 能 会 在 测试 中 一 十 存在。 
现在 ， 我 们 完成 了 基本 的 准备 工作 ， 下 一 步 考虑 用 于 基本 计算 的 函数 (参见 第 4 ED 
-ice 有 
dec 1(). shl_1(). shr_1(). shift 1() 
包括 核心 函数 
add(). sub(). mult ()s umul(). Sar () 
带 USHORT 参数 的 混合 运算 函数 
uadd 1()、 usub 1()、 umul 1()、 udiv 1()、umod 1()、mod2 1() 
带 模 运算 的 函数 (参见 第 5、6 章 ) 
madad 1{)、 msub 1()、 mmul_1(). msqr 1() 
AUK ir PHB 
£ mexp™ 上 人 
我 们 测试 这 些 函 数 所 采用 的 计算 规则 起 源 于 整数 的 群 法 则 ， 我 们 在 第 5 章 的 剩余 类 环 
Z, 中 已 经 介绍 过 。 这 里 再 次 列 出 适用 于 自然 数 的 规则 ( 见 表 13-1)， 用 它们 我 们 可 以 测试 两 
个 表达 式 之 间 的 等 号 何 时 成 立 。 


表 13-1 用 于 测试 的 整数 群 法 则 
加 法 乘法 
同一 性 a+0=a a*l=a 
交换 律 at+b=b+a a*b=b-ea 
结合 律 (a+b) +c=at+(bt+c) (a+b) *c=a* (bec) 





加 法 和 乘法 可 以 用 下 面 的 定义 相互 测试 


大 
ka :一 Ja 


至 少 对 于 小 数值 的 & 可 以 如 此 。 接 下 来 应 该 测试 的 关系 是 分 配 律 和 第 一 个 二 项 式 公式 : 
分 配 率 :a。(b 十 c) =arbt+arc 
二 项 式 公 式 :(& 十 pb) = a° + 2ab + b’ 
加 法 和 乘法 的 消去 律 使 我 们 能 够 用 下 面 的 测试 来 测试 加 减法 、 乘 法 和 除法 : 
4 十 8 三 5c 字 cc 一 4 一 和 c 一 0 一 4 
以 及 
a». b= c>ct+a=bfc+b=a 
带 余 除法 可 以 与 乘法 和 加 法 相互 测试 ， 方 法 是 先 用 除法 函数 计算 被 除数 a 除 以 除数 2， 
得 到 商 g 和 余数 r+， 接 着 再 用 乘法 和 加 法 验证 是 否 有 
Q& 一 0。dq 十 > 
k 值 较 小 的 模 震 运算 可 以 用 乘法 根据 下 面 的 定义 测试 


根据 这 个 定义 ,我们 可 以 得 出 求索 法 则 (参见 第 1 章 ) 
go? = ta’)? 


a =a’ ea 


它们 同样 是 测试 与 乘法 和 加 法 相关 的 需 运 算 的 基础 。 
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除了 这 些 和 其 他 基于 算术 运算 规则 的 测试 以 外 ， 我 们 还 利用 特殊 的 测试 程序 来 测试 前 
面 列表 中 的 其 余部 分 ， 尤其 是 函数 在 CLINT 对 象 定义 区 间 边 界 或 在 其 他 特殊 情况 下 的 行 
为 ， 这 些 情况 对 某 些 特定 的 函数 是 至 关 重 要 的 。 这 些 测 试 中 茶 些 测 试 包 含 在 FLINT/C W 
试 单元 中 ， 从 下 载 源 码 中 可 以 找到 它们 。 测 试 单元 包括 表 13-2 中 列举 的 模块 。 


表 13-2 FLINT/C 测试 函数 


模块 名 测试 内 容 模块 名 测试 内 容 


testrand.c 线性 同 余 ， 伪 随机 数 生 成 器 testdiv.c 带 余 除法 
testbbs.c Blum-Blum-Shub 伪 随 机 数 生 成 器 testmadd.c 模 加 
testreg.c 寄存 器 管理 testmsub .c 模 减 
testbas.c 基本 函数 cpy 1(). ld 1(). equ 1(), testmmul.c 模 乘 
| we |e 
xclint2str_1() testmexp.c Bt 
testadd.c 加 法 ,包括 inc 11() testset.c fit FF AX PH BL 
testsub.c 减法 ， 包 括 dec 1() testshft.c 移 位 运算 
testmul .c 乘法 testbool.c 布尔 运算 
testkar.c Karatsuba 乘法 testiroo.c 整数 平方 根 





testsqr.c 平方 testgcd.c 最 大 公 因 子 和 最 小 公 倍 数 


在 第 二 部 分 的 最 后 我 们 会 再 次 提 到 数论 函数 测试 ， 那 里 它们 将 作为 练习 留 给 特别 感 兴 
趣 的 读者 (参见 第 18 FE). 
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在 和 不同 的 地 域 和 和 不同 的 人 类 种 群 中 ， 人 类 组 织 的 发 报 物 被 广泛 用 于 
物体 构建 的 装饰 上 。 人 类 的 发 报 物 ， 通 常 是 骨头 ， 成 为 了 物体 构建 的 功 
能 部 分 。 在 制作 和 加 工 过 程 中 ， 骨 头 看 起 来 至 少 是 部 分 失去 了 它 的 组 名 
特性 ， 而 成 为 了 一 个 物体 的 完整 要 素 ， 从 而 得 到 了 起 越 其 身体 要 素 的 衣 
征 意 义 。 

一 一 在 意大利 佛 罗 伦 供 人 类 自然 史 博 物 馆 一 次 展览 上 的 留言 
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Cryptography in C and C++, Second Edition 


用 C++ $i tay E i 





我 们 的 生命 被 琐碎 消耗 至 尽 ， 简 单 点 吧 |! 
—— H. D. Thoreau, Walden 


C++ 语言 是 C 语言 的 一 个 扩展 ， 自 从 1979 年 贝尔 实验 室 的 Bjarne Stroustrup ”发 明 
它 以 来 ，C++ 语言 一 直 在 软件 开发 领域 占据 着 主导 地 位 。C++ 支持 面向 对 象 编程 理论 ， 该 
理论 的 原则 就 是 程序 (或 者 更 好 地 ， 过 程 ) 包 含 一 系列 仅 通 过 接口 进行 交互 的 对 象 。 也 就 是 
说 ， 这 些 对 象 把 交换 信息 或 者 接受 并 处 理 某 些 外 部 命令 当 作 任 务 来 完成 ， 而 完成 任务 所 采 
用 的 方法 是 由 对 象 独立 决策 的 内 部 事务 。 展 现 对 象 内 部 状态 以 及 导致 状态 间 转 换 的 数据 结 
构 和 函数 是 对 象 的 私事 ， 从 外 部 无 法 探测 。 这 一 理论 称 为 信息 隐藏 ， 帮 助 软件 开发 者 专注 
于 程序 框架 中 对 象 必 须 完成 的 任务 ， 而 没有 必要 担心 实现 细节 ( 男 一 种 说 法 是 ， 面 向 对 象 
的 重点 是 关于 “是 什么 ”"， 而 不 是 “怎么 样 ” 的 问题 )。 

对 象 内 部 事务 的 结构 设计 ， 包 含 构建 数据 结构 和 函数 的 完整 信息 ， 它 们 称 为 类 。 对 象 
外 部 接口 的 建立 决定 了 对 象 可 以 采取 的 行为 集合 。 由 于 一 个 类 的 所 有 对 象 体现 相同 的 结构 
设计 ， 所 以 它们 都 拥有 相同 的 接口 。 但 是 一 旦 它们 被 创建 之 后 (计算 机 科学 家 说 类 是 对 象 
的 实例 化 )， 它 们 将 保持 独立 ， 其 内 部 状态 的 改变 是 独立 于 其 他 对 象 的 ， 且 它们 依据 程序 
中 各 目的 角色 执行 不 同 的 任务 。 

面 加 对象 编 程 宣称 类 的 使 用 是 更 大 结构 的 基石 ， 在 完整 的 程序 中 ， 这 些 更 大 的 结构 可 
以 是 类 或 者 由 类 构成 的 组 ， 就 像 房 子 或 汽车 是 由 预先 制作 的 模块 构成 的 一 样 。 理 想 情 况 
下 ， 能 把 库 中 已 经 存在 的 类 组 合 为 程序 ， 而 不 用 创建 大 量 的 新 代码 ， 至 少 与 常规 的 传统 程 
序 开发 不 在 一 个 数量 级 上 。 因 此 使 用 面向 对 象 开发 来 反映 真实 情况 或 模拟 真实 过 程 更 为 简 
单 ， 并 由 此 进行 接连 的 细 化 ， 使 结果 最 终 成 为 特定 类 及 其 相互 关系 的 集合 ， 这 其 中 仍 可 辩 
认 出 作为 其 基础 的 现实 世界 的 模型 。 

从 我 们 生活 的 众多 方面 来 说 ， 这 样 一 种 处 理 方 式 都 很 熟悉 ， 因 为 当 我 们 希望 构建 什么 
东西 时 我 们 通常 不 会 直接 操纵 原材料 ， 而 是 乐于 使 用 完整 的 模块 ， 至 于 这 些 模块 的 构造 或 
内 部 运作 我 们 并 不 清楚 ， 当 然 也 没有 必要 清楚 。 站 在 构建 这 些 模 块 的 前 人 的 肩膀 上 ， 我 们 
只 需 付 出 有 限量 的 努力 就 能 够 创建 越 来 越 多 复杂 的 结构 。 在 软件 编制 中 ， 人 情况 并 非 完 全 相 
同 ， 因 为 软件 开发 者 一 再 使 用 原材料 : 程序 由 程序 语言 的 元 素 构建 而 成 (这 个 构建 过 程 通 
WERN Fin 7) 。 而 运行 时 库 ( 如 C 标准 库 ) 的 使 用 ， 并 不 能 对 这 种 情况 有 较 大 的 改进 ， 因 为 
这 些 库 所 包含 的 函数 太原 始 ， 无 法 直接 连接 到 一 个 更 复杂 的 应 用 上 。 

每 一 个 编程 者 都 知道 数据 结构 和 也 数 为 某 些 问题 提供 了 可 接受 的 解决 方案 ,但 是 车 不 


O 下列 这 段 源 于 Bjarne Stroustrup 因特网 主页 (http://www. research. att. com/ 一 bs/) 的 话 ， 可 能 有 助 于 回答 这 个 问 
题 ， 即 如 何 拼 读 “Biarne Stroustrup”: “对 于 非 北欧 人 来 说 ， 这 是 困难 的 。 我 曾 听 过 的 最 好 建议 是 ' 先 使 用 挪威 
语 念 几 遍 ， 然 后 将 一 个 土豆 塞 进 喉 晓 里 ,再 念 几 遍 ，。 我 的 名 和 姓 拼 读 起 来 都 有 两 个 音节 ，Bjar-neStrou- strup。 
在 名 字 中 B 和 J 都 不 重读 ，NE 发 音 更 轻 ， 因 此 Be-ar-neh 和 By-ar-ne 可 能 让 人 更 明白 。 在 姓 中 的 第 一 个 U 
本 应 该 是 V， 这 使 第 一 个 音节 末尾 发 音 较 低沉 ， Strov-strup。 第 二 个 U 有 点 像 OOP 中 的 OO 发 音 , 但 是 是 
短 音 ; 也 许 Strov-stroop 让 人 更 明白。” 
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经 过 修改 则 很 少 能 用 于 相似 但 不 同 的 问题 上 。 这 削弱 了 可 依赖 经 充分 测试 的 可 信和 构件 的 优 
势 ， 因 为 任何 修改 都 有 可 能 引入 新 的 错误 一 一 与 编程 设计 中 的 一 样 大 。( 在 各 种 消费 者 产 
品 的 手册 中 我 们 总 是 被 提醒 注意 一 点 ，“ 任 何 非 授权 服务 提供 者 导致 的 变更 将 取消 保修 
资格 。”) 

为 了 能 灵活 地 重复 使 用 预先 构建 的 软件 ， 继 承 的 概念 在 许多 其 他 概念 中 脱颖而出 ， 得 
到 了 发 展 。 这 使 得 修改 类 以 便 符 合 新 要 求 而 不 必 真 正 改动 它 成 为 可 能 。 或 者 ， 在 扩展 层 对 
必要 的 变动 进行 打包 。 由 此 产生 的 对 象 不 仅 具 有 新 的 性 质 ， 而 且 还 具有 一 切 旧 有 的 性 质 。 
你 也 可 以 说 它们 继承 了 这 些 性 质 。 当 然 ， 信 息 隐 藏 的 原理 仍然 成 立 ， 不 过 错误 的 概率 大 大 
降低 了 ， 且 效率 提高 了 ， 这 似乎 是 梦想 成 真 了 。 

作为 一 种 面向 对 象 编程 语言 ，C++ 具有 支持 这 些 抽 象 原理 的 必 备 机 制 ? 。 但 这 些 只 表 
示 一 种 潜在 可 能 ， 从 面向 对 象 编程 意义 上 说 并 不 能 确保 人 使用。 相反， 从 传统 到 面向 对 象 软 
件 开发 的 转变 需要 大 量 的 新 思路 。 这 在 两 方面 的 体现 是 尤其 明显 的 ， 一 是 ， 对 于 要 得 到 好 
结果 的 开发 者 来 说 ， 与 传统 的 软件 开发 方法 相 比 ， 需 要 在 建 模 和 设计 阶段 花费 更 多 的 精 
力 。 二 是 ， 在 新 类 的 开发 和 测试 中 ， 为 了 得 到 零 错 误 的 基本 构件 需要 更 加 小 心 ， 因 为 它们 
将 应 用 于 未 来 各 种 应 用 中 。 信 息 隐 藏 也 意味 着 错误 隐藏 ， 因 为 如 果 类 的 使 用 者 为 了 找到 一 
个 错误 而 必须 知晓 内 部 机 制 ， 那 么 它 就 与 面向 对 象 编程 的 理念 相 违 背 。 结 果 是 类 实现 中 的 
错误 会 被 继承 下 去 ， 因 此 所 有 的 子 类 都 将 感染 相同 的 “遗传 病 ”。 男 一 方面 ， 对 发 生 在 类 
对 象 中 的 错误 分 析 可 以 限制 到 类 实现 中 ， 这样 可 以 很 大 地 减少 错误 搜索 范围 。 

总 之 ， 我 们 必须 说 使 用 C++ 和 Java 作为 编程 语言 是 强烈 的 趋势 ， 然 而 ， 面 向 对 象 编 
程 的 原理 是 多 层次 的 ， 并 非 仅 理解 这 些 语言 的 复杂 元 素 而 已 。 还 有 很 长 一 段 时 间 它 们 才能 
作为 软件 开发 的 标准 方法 。 然 而 ， 在 此 期 间 ， 有 很 多 强大 的 健全 的 工具 可 供 使 用 ， 它 们 能 
很 好 地 支持 从 建 模 到 生成 可 执行 代码 的 一 系列 开发 过 程 。 

因此 ， 这 一 章 的 标题 并 非 指向 面向 对 象 编 程 或 者 C++ 的 一 般 应 用 ， 而 是 指 问 其 中 所 
蕴含 的 机 制 及 其 给 我 们 的 项 目 所 带 来 的 意义 。 这 使 得 大 数 之 间 的 算术 运算 能 以 自然 的 方式 
被 表述 ， 就 好 像 它 们 属于 程序 语言 所 包含 的 标准 运算 。 所 以 ,在 下 面 的 几 节 中 ， 我们 将 不 
介绍 C++ ， 而 是 讨论 用 于 表示 大 自然 数 以 及 提供 抽象 方法 来 处 理 这 些 数 的 类 的 开发 ?> 。 数 
据 结 构 的 细节 对 类 的 使 用 者 和 客户 来 说 是 隐 茂 的， 同样 大 量 算术 和 数论 函数 的 实现 也 是 
如 此 。 然 而 ， 在 应 用 类 之 前 必须 研究 它们 ， 对 此 不 得 不 涉及 其 内 部 细节 。 不 过 ， 没 必要 
从 头 开始 ， 而 是 利用 本 书 第 一 部 分 已 完成 的 实现 ， 并 围绕 C 库 制 订 算 术 类 作为 抽象 的 层 
或 壳 。 

我 们 给 算术 类 取 名 为 LINT(Large INTegers， 大 整数 )。 该 类 包含 数据 结构 和 函数 ， 
作为 属性 为 public 的 构件 ， 它 们 决定 了 可 供 外 部 访问 的 可 能 性 。 另 一 方面 ， 若 想 要 访 
问 声 明 为 private 的 类 结构 ， 则 只 能 使 用 声明 为 该 类 友 元 函数 的 函数 。LINT 类 的 成 员 
pki AX AE Het PK la] LINT 对 象 的 消 数 和 数据 元 素 ， 用 于 服务 外 部 接口 和 处 理 对 类 的 指 
令 ， 并 充当 管理 和 处 理 内 部 数据 结构 的 基本 例 程 和 辅助 函数 。 类 LINT 的 成 员 函 数 总 是 
拥有 一 个 LINT 对 象 作 为 隐 含 的 左 参 数 ， 但 是 它 不 在 参数 列表 中 出 现 。 类 的 友 元 函数 不 
属于 该 类 ,但 是 它们 能 够 访问 类 的 内 部 结构 。 不 同 于 成 员 函 数 ， 友 元 函数 并 不 拥有 一 个 


O C++ 不 是 唯一 的 面向 对 象 语 言 。 其 他 的 还 包括 Simila( 所 有 面向 对 象 语言 的 先驱 ) Smalltalk, Eiffel, Oberon 和 
Java. 

O 读者 可 参考 介绍 、 讨 论 C++ 的 规范 文献 中 的 几 篇 著作 、 那 LEISt]、[Strl1]、[Str2] 、[Deit] 、[Lipp]， 在 此 
只 列举 了 少数 重要 的 名 称 。 特 别 地 ，[ EIStj 被 视 为 ISO 规范 的 基础 。 





对 象 作为 类 的 实例 通过 构造 函数 产生 ， 构 造 函 数 负 责 在 对 象 可 运行 之 前 完成 内 存 分 
配 、 数 据 初 始 化 和 其 他 管理 任务 。 为 了 能 够 在 不 同 场合 下 产生 LINT 对 象 ， 我 们 需要 几 个 
这 样 的 构造 函数 。 与 构造 函数 相对 应 的 是 析 构 画 数 ,它们 用 于 移 除 不 再 需要 的 对 象 ， 并 释 
放 其 人 至 有 的 资源 。 

以 下 是 特别 用 于 类 开发 的 C++ 元 素 : 

© 运算 符 和 函数 的 重 载 。 

o 相对 于 C， 对 输入 和 输出 改善 的 可 能 

下 面 各 节 专 门 研究 在 LINT 类 的 框架 中 应 用 这 两 个 原则 。 为 了 让 读者 了 解 LINT 类 所 
假设 的 形式 ， 展 示 它 声明 中 的 一 小 段 : 

class LINT 


{ 
public: 
LINT (void); // constructor 
“LINT (); // destructor 


const LINT& operator= (const LINT&); 

const LINT& operator+= (const LINT&); 

const LINT& operator-= (const LINT&); 

const LINT& operator*= (const LINT&); 

const LINT& operator/= (const LINT&); 

const LINT& operator LINT gcd (const LINT&); 
LINT lcm (const LINT&); 

int jacobi (const LINT&); 


friend const LINT operator + (const LINT&, const LINT&); 
friend const LINT operator - (const LINT&, const LINT&); 
friend const LINT operator * (const LINT&, const LINT&); 
friend const LINT operator / (const LINT&, const LINT&); 
friend const LINT operator 

friend LINT mexp (const LINT&, const LINT&, const LINT&); 
friend LINT mexp (const USHORT, const LINT&, const LINT&); 
friend LINT mexp (const LINT&, USHORT, const LINT&); 
friend LINT gcd (const LINT&, const LINT&); 

friend LINT lcm (const LINT&, const LINT&); 

friend int jacobi (const LINT&, const LINT&); 


private: 
clint *n 1; 
int status; 

}; 

可 以 看 出 上 述 形式 典型 地 划分 为 两 块 : 一 是 公共 块 ， 由 一 个 构造 函数 、 一 个 析 构 函 
BM. RRB. BMRA PH. SMA, 一 个 私有 数据 元 素 短 
块 被 加 入 到 公共 接口 之 后 ， 用 标签 private 标识 。 将 公共 接口 放 在 私有 块 之 前 ， 且 在 
一 个 类 声明 中 只 使 用 一 次 public 和 private 标签 被 认为 是 一 种 好 的 风格 ， 有 助 于 条 
理 清晰 。 

在 上 述 类 的 声明 部 分 中 出 现 的 运算 符 列 表 并 不 是 完整 的 。 它 丢掉 了 一 些 不 能 表示 为 运 
算 符 的 算术 函数 和 大 多 数 的 数论 阔 数 ,我 们 已 经 知道 它们 可 以 作为 C 函数 。 而 且 ， 所 声明 
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的 构造 函数 和 输入 或 输出 CLINT 对 象 的 函数 一 样 ， 很 少 被 描述 。 

在 下 面 的 运算 符 和 函数 参数 列表 中 ， 出 现 了 地 址 运算 符 “&"， 它 的 作用 是 使 LINT 类 
的 对 象 不 是 通过 值 而 是 通过 引用 传递 ， 即 指向 对 象 的 指针 。 这 也 同样 适用 于 LINT 对 象 的 
返回 值 。 这 种 对 & 的 使 用 在 C 中 是 不 为 人 所 知 的 。 然 而 ， 人 和 仔细 观察 就 会 发 现 仅仅 某 些 成 员 
图 数 会 返回 LINT 对 象 的 指针 ， 其 他 成 员 函 数 大 多 数 会 返回 结果 值 。 决 定 采 用 这 两 种 方式 
中 哪 一 种 的 基本 规则 是 : 对 一 个 或 多 个 传 入 的 参数 进行 更 改 的 函数 可 以 将 结果 作为 引用 返 
回 ， 而 其 他 没有 更 改 参 数 的 函数 ， 以 值 的 形式 返回 结果 。 随 着 讲解 我 们 会 看 到 哪些 LINT 
邑 数 适用 哪些 方式 。 

C++ 中 的 类 是 C 中 复杂 数据 类 型 struct 的 扩展 ， 对 类 中 元 素 x 访问 的 语法 与 对 结构 
体 中 元 素 访问 的 语法 一 样 ， 即 通过 A.x， 这 里 A 表示 一 个 对 象 ，x 为 该 类 的 一 个 元 素 。 

可 以 看 出 成 员 函 数 的 参数 列表 比 同名 的 友 元 函数 少 一 个 变量 ， 如 下 例 所 示 : 


friend LINT gcd (const LINT&, const LINT&); 


LINT LINT::gcd (const LINT&); 

由 于 函数 gcd () 作 为 类 LINT My —P a KA, RR LINT 类 型 的 对 象 ARA， 所 以 对 郴 
数 gcad () 的 调用 必须 采用 格式 A.gcd(b), BHA 不 在 gcd () 的 参数 列表 中 出 现 。 相 比 之 
F, ANAX gcd () 不 属于 任何 对 象 ， 因 此 它 没有 隐 含 变量 。 

下 一 章 将 对 LINT 类 的 上 述 框 架 进 行 填充 ， 并 探索 很 多 细节 ， 最 终 实 现 一 个 完整 的 
LINT 类。 对 C++ 的 一 般 讨 论 感 兴趣 的 读者 可 以 参阅 标准 著作 [Deit]、[ElSt]、[Lippj]， 
尤其 是 [Meyl ] 和 [Mey2 |. 


14.1 非 公 共事 务 : LINT 中 数 的 表示 


D RA Foti] et ow — A 
—— A. E. Housman, K LastPoemslX) 


类 选择 的 大 数 的 表示 是 第 一 部 分 中 C 语言 表示 的 扩展 。 自 然 数 的 数字 排列 为 clint 
值 的 数组 ， 其 中 高 位 数字 占据 高 索引 (参见 第 2 章 )。 当 生成 一 个 对 象 时 ， 自 动 分 配 所 需 的 
内 存 ， 这 由 构造 函数 来 完成 ， 而 构造 函数 要 么 由 程序 明确 调用 ， 要 么 由 编译 器 通过 分 配 函 
数 new() 隐 式 调 用 。 在 类 的 声明 中 ， 需 要 一 个 clint * n 1 类 型 的 变量 ， 它 与 指向 构造 函 
数 所 分 配 内 存 的 指针 相关 联 。 

变量 status 用 于 记录 LINT 对 象 的 各 种 状态 。 例 如 ，status 可 用 于 报告 上 溢 或 者 
P Yat» WR LINT 对 象 的 运算 结果 出 现 此 情况 ,那么 变量 status 将 被 赋值 为 E_LINT 
OFL #4 E LINT_UFL。 上 此外， 我们 想 要 确定 一 个 LINT 对 象 是 否 已 经 初始 化 ， 即 在 被 用 
于 等 号 右边 的 数值 表达 式 之 前 ， 它 是 否 被 赋予 数值 。 如 果 一 个 LINT 对 象 没 赋 数 值 ， 
那么 status 值 为 E_LINT INV， 在 运算 执行 之 前 ， 所 有 的 函数 必须 对 此 进行 检查 。 如 
R LINT 对 象 的 值 或 者 后 续 表 达 式 的 值 没 有 定义 ， 则 LINT 函数 和 运算 符 将 给 出 错误 
信息 。 

严格 地 讲 ， 变 量 status 不 是 数值 表示 的 元 素 ， 它 用 于 报告 和 处 理 错 误 状 态 。 第 16 章 
将 详细 讨论 错误 处 理 的 类 型 和 机 制 。 

LINT 类 定义 了 以 下 两 个 元 素 ， 它 们 用 于 表示 整数 和 存储 对 象 的 状态 : 
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elint® AL 

int status; 

由 于 这 里 处 理 的 是 私有 元 素 ， 所 以 对 这 些 类 元 素 的 访问 只 能 通过 成 员 、 友 元 函数 或 运 
算 符 。 特 别 指出 ， 不 可 能 直接 存 取 由 LINT 对 象 表示 的 数 的 单个 数字 。 


14.2 构造 函数 

构造 函数 是 生成 特定 类 的 对 象 的 图 数 。 对 于 LINT 类 ， 这 可 在 有 初始 化 或 没 初 始 化 的 
情况 下 发 生 。 在 后 一 种 情况 创建 一 个 对 象 并 分 配 存储 数值 所 需 的 内 存 ， 但 是 不 对 该 对 象 赋 
值 。 对 此 所 需 的 构造 函数 不 需要 参数 ， 因 此 承担 着 LINT 类 的 默认 构造 图 数 的 角色 (参见 
[Strl], 10.4.2 节 )。 如 下 flintpp.cpp 文件 中 的 默认 构造 函数 LINT (void) 构 建 了 一 个 
LINT 对 象 ， 但 并 未 赋值 : 


LINT: :LINT (void) 


{ 
n 1 = new CLINT; 
if (NULL == n I) 


{ 
panic (E LINT NHP, "constructor 1", 0, _ LINE ); 
} 
status = E LINT INV; 


} 
如 果 一 个 新 生成 的 对 象 需 要 用 一 个 数值 进行 初始 人 化， 那么 必须 调用 合适 的 构造 函数 来 
生成 一 个 LINT 对 象 ， 然 后 将 一 个 预先 定义 的 参数 赋值 给 该 对 象 。 根 据 参数 类 型 必须 提供 
不 同 的 重 载 构造 函数 。LINT 类 包含 的 构造 图 数 如 表 14-1 PAN 


表 14-1 LINT 构造 函数 


构造 函数 语义 : 生成 一 个 LINT 对 象 
LINT (void); 没有 初始 化 (默认 构造 函数 ) 
LINT (const char* const,char); 从 字符 串 ， 以 第 二 个 参数 所 给 出 的 值 作为 数值 表示 的 基 
LINT (const UCHAR* , int); 从 字 节 数组 ， 长 度 由 第 二 个 参数 给 定 
LINT (const char* ) ; 从 字符 串 ， 可 选择 十 六 进 制 的 前 缀 ox 或 二 进 制 的 前 组 OB 
LINT (const LINTS) ; 从 另 一 个 LINT HR CR itil ie PA BO) 
LINT (int); 从 类 型 为 char, short 或 integer 的 一 个 值 
LINT (long int); 从 类 型 为 long integer 的 一 个 值 
LINT (UCHAR); 从 类 型 为 UCHAR 的 一 个 值 
LINT (USHORT) ; 从 类 型 为 USHORT 的 一 个 值 
LINT (unsigned int); 从 类 型 为 unsigned integer 的 一 个 值 
LINT (ULONG); 从 类 型 为 ULONG 的 一 个 值 
LINT (const CLINT) ; 从 一 个 CLINT 对 象 


现在 我 们 进一步 考虑 图 数 LINT (const char* ) 用 于 LINT 构造 的 例子 ， 它 产生 一 个 
LINT 对 象 ， 并 给 它 赋予 ASCI 数字 的 字符 串 的 值 。 可 以 给 字符 串 中 所 包含 的 数字 加 一 个 
前 级 ， 它 含有 有 关 数 值 表示 的 基 的 信息 。 如 果 一 个 字符 串 的 前 缀 为 Ox 或 者 0x， 则 为 来 自 
集合 {10，1，…，9} 和 {a，b，…， 了 但 的 十 六 进 制 数 字 。 如 果 前 缀 为 Ob 或 者 0B， 则 为 来 自 
(0，1} 的 二 进 制 数 凶 。 如 果 没 有 前 级 ， 那 么 数字 可 理解 为 十 进 制 数 。 构 造 函 数 使 用 函数 
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str2clint 1() 将 字符 串 转 换 为 一 个 CLINT 类 型 的 对 象 ， 其 中 第 二 步 创 建 LINT 对 象 。 
LINT:: LINT (const char* str) 
n 1 = new CLINT; 


if (NULL == n 1) // error with new? 
{ 
panic (E LINT NHP, “constructor 4", 0, _ LINE ); 
} 
if (strncmp (str, "Ox", 2) == 0 || strncmp (str, "OX", 2) == 0) 
{ 
int error = str2clint 1] (n 1, (char*)str+2, 16); 
} 


else 


{ 


if (strncmp (str, "Ob", 2) == 0 || strncmp (str, "OB", 2) == 0) 


error = str2clint 1 (n 1, (char*)str+2, 2); 


error = str2clint_1 (n l, (char*)str, 10); 


switch (error) { 

case E CLINT OK: 
status = E LINT OK; 
break; 

case E CLINT NPT: 
status = E LINT INV; 
panic (E_LINT_NPT, "constructor 4", 1, _ LINE ); 
break; 

case E CLINT OFL: 
status = E_LINT OFL; 
panic (E_LINT OFL, "constructor 4", 1, _LINE ); 
break; 

default: 
status = E_LINT_ INV; 
panic (E_LINT_ERR, “constructor 4", error, LINE); 


} 

构造 函数 使 LINT 对 象 通过 自身 、 标 准 类 型 、 常 数 和 字符 串 初始 化 成 为 可 能 ， 正 如 下 
面 的 例子 中 所 展示 的 : 

LINT a; 

LINT one (1); 

int i = 2147483647; 

LINT b (i); 

LINT c (one); 

LINT d ("0x123456789abcdefo") ; 


为 了 由 特定 参数 产生 LINT 类 型 的 对 象 ， 必 须 明 确 调用 构造 函数 。 例 如 ， 下 面 的 函数 
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展示 了 一 个 将 unsignedlong 值 转换 为 LINT RAN LINT 构造 函数 : 
LINT::LINT (USHORT ul) 
n 1 = new CLINT; 
if (NULL == n_1) 
{ 
panic (E LINT NHP, “constructor 11", 0, _ LINE); 
sane (n la ul); 
status = E LINT OK; 
} 
现在 我 们 必须 提供 与 LINT 类 构造 函数 相对 应 的 析 构 函数 来 释放 对 象 ， 尤 其 是 释放 绑 
定 其 上 的 内 存 。 当 然 ， 编 译 器 乐于 提供 默认 的 析 构 函数 ， 但 是 它 仅 仅 释 放 LINT 对 象 所 拥 
有 的 内 存 。 构 造 函 数额 外 分 配 的 内 存 不 会 被 释放 ， 因 此 会 导致 内 存 泄露 。 下 面 这 个 短 的 析 
构 函 数 完 成 了 释放 LINT 对 象 所 占 内 存 的 重要 任务 。 


-LINT() 
{ 
delete [] n 1; 
} 
14.3 ” 重 载 运算 符 


运算 符 的 重 载 代表 着 一 种 有 力 的 机 制 ， 用 于 定义 名 称 相同 但 参数 列表 不 同 、 能 实现 不 
同 运 算 的 函数 。 编 译 紫 通过 指定 参数 列表 来 确定 是 哪 一 个 函数 。 作 为 先决 条 件 ，C++ 必须 
采用 严格 的 类 型 检查 ， 绝 不 允许 含糊 不 清和 不 一 致 性 。 

运算 符 函 数 的 重 载 使 得 有 关 LINT 对 象 a、b、c 求 和 的 “正常 ”表示 方式 c= at b 成 
为 可 能 ， 而 不 必 调 用 adqd_1(a 1, bl, c 1) 之 类 的 函数 。 这 使 得 类 与 程序 语言 可 进行 无 
缝 衔接， 从 而 显著 提高 程序 的 可 读 性 。 对 于 这 个 例子 ， 运算 符 “+ ”和 赋值 运算 “= ”的 
重 载 就 是 必 不 可 少 的 。 

在 C++ 中 仅 有 几 个 运算 符 不 能 被 重 载 ， 即 使 是 用 于 访问 数组 的 运算 符 “[]j” 也 能 被 
重 载 ， 璧 如 说 通过 一 个 函数 同时 检查 数组 存 取 是 否 越界 。 然 而 ， 运 算 符 的 重 载 也 打开 了 灾 
难 之 门 。 当然 ，C++ 运算 符 对 标准 数据 类 型 的 作用 不 会 被 改变 ， 预 定义 的 运算 符 优 先 级 也 
不 会 改变 ， 更 不 会 “产生 ”新 的 运算 。 但 是 对 于 个 别 类 来 说 ， 定 义 与 通常 部 署 的 运算 符 完 
全 不 同 的 运算 符 函 数 是 完全 可 能 的 。 为 了 程序 的 维护 性 ， 建 议 在 重 载运 算 符 时 遵守 C++ 
中 标准 运算 符 的 含义 ， 以 避免 不 必要 的 混乱 。 

从 上 面 对 LINT 类 的 概述 中 可 以 看 出 ， 某 些 运算 符 已 经 作为 友 元 函数 加 以 实现 ， 其 他 
作为 成 员 函 数 被 实现 。 原 因 是 我 们 想 要 使 用 “+” 或 者 “*” 等 作为 两 位 运算 符 ， 这 样 不 
仅 能 处 理 两 个 对 等 的 LINT 对 和 象 ， 也 能 接受 一 个 LINT 对 象 和 一 个 C++ 内 置 的 整数 类 型 ， 
甚 者 ， 能 接受 任意 顺序 的 参数 ， 因 为 加 法 具有 交换 律 。 为 此 ， 我 们 需要 上 述 构造 函数 ， 创 
造 整数 类 型 以 外 的 LINT 对 象 。 如 下 所 示 的 混合 表达 式 

LINT a, b, Cs 

int number; 


// Initialize a, b, and number and calculate something or other 
IE arsin 


c = number * (a + b / 2) 
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是 可 行 的 。 编 译 器 负责 自动 调用 合适 的 构造 函数 并 确保 在 调用 运算 符 + 和 * 前 的 运行 
时 执行 整数 类 型 number 和 常量 2 转换 为 表 14-2 LINT 算术 运算 符 
LINT 类 型 的 运算 。 由 此 我 们 在 运算 符 应 用 加 法 
中 获得 了 最 大 可 能 的 灵活 性 ， 但 同时 也 受到 









增 量 (前 级 和 后 缀 运算 符 ) 
限制 : 含有 LINT 类 型 的 对 象 的 表达 式 上 自身 减法 
也 是 LINT 类 型 ， 因 为 只 能 被 赋 给 LINT 类 i 减 量 ( 前 级 和 后 级 运算 符 ) 
型 的 对 象 。 * 乘法 
在 涉及 单个 运算 符 细 节 之 前 ， 先 给 出 / 除法 ( 商 ) 


LINT 类 所 定义 的 运算 符 ， 如 表 14-2 一 取 余 


表 14-5 所 示 。 


表 14-3 LINT 位 运算 符 表 14-5 LINT 赋值 运算 符 
按 位 与 (AND) 简单 赋值 






















| 按 位 或 (OR) 1 一 加 法 之 后 赋值 
= 按 位 异 或 (XOR) -= 减法 之 后 赋值 
<< 左 移 * 一 乘法 之 后 赋值 
Ha /= 除法 之 后 赋值 
t= 取 余 之 后 赋值 
表 14-4 LINT 逻辑 运算 符 &= 按 位 AND 之 后 赋值 
等 于 js 按 位 OR 之 后 赋值 
!= 不 等 于 A 按 位 XOR 之 后 赋值 
<= 小 于 、 小 于 或 等 于 <<= 左 移 位 之 后 赋值 


KF. KFRSF 右 移 位 之 后 赋值 

现在 我 们 将 要 涉及 运算 符 图 数 “*”“=”“x*=” 和 “==” 的 实现 问题 ， 并 以 此 为 例 
来 说 明 LINT 运算 符 的 实现 。 首 先 ， 在 运算 符 “*=” 的 帮助 下 ， 我 们 将 看 到 C 函数 mul 1() 
是 如 何 实现 LINT 对 象 乘法 的 。 该 运算 符 作 为 友 元 困 数 实现 ， 而 与 运算 符 相 联系 的 两 个 因 
子 则 是 作为 引用 传递 的 。 因 为 运算 符 困 数 没有 改变 它 的 参数 ， 所 以 参数 的 引用 形式 可 声明 
为 const: 


const LINT operator* (const LINT& lm, const LINT& 1n) 
{ 
LINT prd; 
int error; 
第 一 步 查询 运算 符 函 数 作 为 引用 传 入 的 参数 lm 和 ln 是 否 已 初始 化 。 如 果 两 个 变量 未 初 
始 化 ， 则 开始 调用 声明 为 static H&M BHR panic() 进 行 错 误 处 理 ( 参 见 第 15 章 )。 
if (lm.status == E_LINT_INV) 
LINT: :panic (E_LINT VAL, "*", 1, _ LINE); 
if (ln.status == E LINT INV) 
LINT::panic (E LINT VAL; **", 2, LINE ); 
HMA C HH mul 1(), KH Im.n 1 和 1ln.n 1 作为 因子 传 入 ，prd.n 1 用 于 存储 
乘积 。 
error = mul 1 (1m.n_1, ln.n 1, prd.n_1); 
存储 在 变量 error 中 的 错误 代码 要 分 3 种 情况 进行 评估 : 如 果 error— 0， 则 一 切 正 常 ， 
对 象 prd 可 标记 为 已 初始 化 的 。 这 可 通过 将 变量 prd.status 设置 为 不 等 于 E LINT INV 的 值 
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来 实现 ， 正 常情 况 (error=0) 下 该 变量 为 EE LINT OK, wR mul 1() 发 生 了 溢出 ， 则 error 
IAA E CLINT OFL。 因 为 在 这 种 情况 下 数组 prd.n_1 包含 一 个 有 效 的 CLINT 整数 ， 所 以 
状态 变量 prd.status 简单 设置 为 E LINT OFL， 而 并 未 调用 错误 处 理 。 如 果 error 在 调 
用 mul 1() 之 后 不 是 这 两 个 值 ， 则 在 这 些 函 数 中 出 现 了 某 种 偏差 ， 且 无 法 准确 识别 是 什么 
错误 。 因 此 ， 调 用 函数 panic() 来 进行 进一步 的 错误 处 理 。 

switch (error) 


{ 


case 0: 
prd.status = E LINT OK; 
break; 
case E CLINT OFL: 
prd.status = E LINT OFL; 
break; 
default: 
lint::panic (E_LINT ERR, "*", error, _ LINE ); 
} 
WR AA panic () 无 法 修正 错误 ， 那 么 返回 到 此 处 是 毫 无 意义 的 。 错 误 识 别 的 机 制 会 
导致 这 里 出 现 一 个 已 定义 的 终止 ， 在 原则 上 这 优 于 在 无 定义 的 状态 下 继续 运行 程序 。 作 为 
最 后 一 步 ， 乘 积 prd 以 元 素 级 的 形式 返回 。 


return prd; 


} 

因为 对 象 pra 仅仅 存在 于 函数 环境 中 ， 所 以 编译 器 确保 自动 创建 一 个 临时 变量 ， 用 于 
表示 prd 传 到 函数 外 的 值 。 这 个 临时 对 象 是 在 复制 构造 图 数 LINT (const LINT&)( 见 表 
14-1) 的 帮助 下 产生 的 ， 一 直 存 在 直到 运算 符 所 在 的 表达 式 被 处 理 ， 也 就 是 ， 到 达 表 示 结 
束 的 分 号 为 止 。 由 于 函数 值 声明 为 const， 所 以 像 (ax b)=c; 这 样 无 意义 的 结构 不 会 通过 
编码 器 。 其 目的 是 为 了 使 用 与 内 置 整 数 类 型 相同 的 方式 处 理 LINT 对 象 。 

可 以 按 下 面 的 细节 描述 来 扩展 运算 符 函 数 : 如 果 相 乘 的 因子 相等 ， 则 相 乘 能 被 求 平方 
蔡 代 ， 因 此 与 此 相 联 系 的 效率 上 的 优势 能 自动 实现 (参见 4.2.2 节 )。 然 而 ， 因 为 通常 确定 
两 个 参数 是 否 相 等 需要 一 次 元 素 之 间 的 比较 ， 而 这 个 代价 对 我 们 来 说 太 过 昂贵 了 ， 所 以 我 
们 乐于 选择 一 种 折 中 办 法 : 只 有 当 两 个 因子 涉及 同一 个 对 象 时 ， 求 平方 才 发 挥 作用 。 因 此 
先 检测 ln 和 lm 是 否 指向 同一 个 对 象 ， 如 果 是 则 用 求 平 方 代替 乘法 。 有 关 的 代码 如 下 : 

if (&lm == &1n) 

{ 


error = sqr_1 (lm.n_l, prd.n 1); 


else 


{ 


error = mul 1 (lm.n 1, ln.n 1, prd.n 1); 
} 

这 是 第 一 部 分 中 用 C 实现 的 函数 ， 是 LINT 类 中 其 他 所 有 函数 的 模型 ， 它 就 像 是 围绕 
C 函数 的 核 形 成 的 一 个 这 ， 并 保护 其 不 受 类 使 用 者 的 影响 。 

在 转向 更 复杂 的 赋值 运算 符 “*=” 之 前 ， 先 看 看 简单 赋值 运算 符 “=” 是 一 个 不 错 的 
选择 。 第 一 部 分 已 强调 过 对 象 的 赋值 需要 特别 留意 ( 见 第 8 章 )。 因 此 ， 正 如 在 C 实现 中 一 
样 我 们 不 得 不 小 心 ， 当 把 一 个 CLINT 对 和 象 赋 值 给 为 一 个 对 象 的 内 容 而 不 是 地 址 时 ， 必 须 为 
LINT 类 定义 一 个 赋值 运算 待 “=” 的 特殊 版 本 ， 它 能 做 的 不 仅仅 是 复制 类 的 元 素 : 出 于 第 
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8 章 所 描述 的 同样 理由 ， 我 们 必须 注意 所 复制 的 不 是 数值 数组 n_1 的 地 址 ， 而 是 n_ 1 所 指 问 
的 数值 表示 的 数字 。 

一 旦 理解 了 这 样 做 的 根本 需求 ,实现 就 不 青 复杂 了 。 运 算 符 “=” 作 为 一 个 成 员 函 数 
实现 ， 返 回 一 个 隐 含 的 左 变量 引用 作为 赋值 结果 。 当 然 ， 在 内 部 则 使 用 C 函数 cpy_1 () 将 
一 个 对 象 的 数字 移 到 另 一 个 对 象 中 。 为 了 执行 赋值 a= b， 编 译 器 在 a 的 环境 中 调用 运算 
fF PAR “=”, a 取代 了 运算 符 函 数 参 数列 表 中 不 曾 出 现 的 隐 含 参数 的 角色 。 在 成 员 函 数 内 
部 ， 对 隐 含 参数 的 引用 通过 名 字 简 单 地 给 出 。 此 外 ， 对 隐 含 对 象 的 引用 可 由 特殊 的 指针 
this 完成 ， 如 下 面 对 运算 符 “=” 的 实现 一 样 : 

const LINT& LINT::operator= (const LINT& 1n) 


{ 
if (ln.status == E_LINT INV) 
panic (E LINT VAL "=", 2 _ LINE ); 


首先 ， 检 查 对 左 、 右 参数 的 引用 是 否 相 同 ， 因 为 如 果 相 同 ， 则 没有 必要 赋值 。 和 否则 ， 


将 ln 数值 表示 的 数字 复制 给 隐 含 左 参 数 * this, status 值 亦 然 ， 然 后 返回 隐 念 变量 的 
引用 * this。 
if (&ln l= this) 
{ 


epy. L (nl, Inan); 
status = ln.status; 


} 


return *this; 


} 

你 可 能 会 问 ， 是 否 赋 值 运 算 符 一 定 要 返回 一 个 值 呢 ， 因 为 在 调用 LINT: : operator= 
(const LINT &) 之后， 预期 的 赋值 似乎 已 经 实现 。 然 而 ， 如 果 回 想起 形 为 

f (a = b); 

的 表达 式 是 允许 的 ， 那 么 该 问题 的 答案 就 一 目 了 然 了 。 根 据 C++ 的 语义 ， 这 样 的 表 
达 式 会 使 用 a=b 赋值 结果 作为 参数 来 调用 函数 fE。 因 此 ， 赋 值 运 算 符 返回 被 赋 的 值 作为 结 
宋 是 必 不 可 少 的 ， 且 出 于 效率 的 考虑 这 通过 引用 来 完成 。 这 样 的 表达 式 的 特例 为 

å = b = Ġ; 


这 里 赋值 运算 符 连 续 被 调用 了 两 次 ， 在 第 二 次 调用 时 ， 第 一 次 赋值 p=c 的 结果 赋值 给 


与 运算 符 “*” 不 同 ， 运 算 符 “*=” 用 乘积 来 重 写 左边 的 传人 人 因子。 表达 式 a*=b 作 
为 a=a*b 的 简略 形式 ， 其 含义 仍 适用 于 LINT 对 象 。 所 以 ， 与 运算 符 “=” 一 样 ，“*=” 
可 以 设置 为 一 个 成 员 函 数 ， 出 于 以 上 原因 ， 该 函数 返回 结果 的 引用 
const LINT& LINT: :operator*= (const LINT& ln) 
{ 
int error; ` 
if (status == E LINT INV) 
panic (E_LINT VAL, "*=", 0, _ LINE ); 
if (1n.(status == E_LINT INV) 
panic (E LINT VAL, "*=", 4, _ LINE J; 
if (&ln == this) 
error = sar 1 (n l; n_1); 
else 
error = mul 1 (n 1, ln.n 1, n 1); 
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switch (error) 


{ 


case 0: 
status = E_LINT OK; 
break; 
case E CLINT OFL: 
status = E LINT OFL; 
break; 
default: 
panic (E_LINT ERR, "*=", error, _ LINE); 
} 
return *this; 


} 

作为 LINT 运算 符 的 最 后 一 个 例子 ， 我 们 将 对 函数 “==” 进 行 描述 ,该 函数 检验 两 个 
LINT 对 象 的 相等 性 : 如 果 相 等 ， 则 返回 值 1; 和 否则， 返回 0。 运算 符 “==” 也 举例 说 明了 
其 他 逻辑 运算 符 的 实现 。 


const int operator == (const LINT& lm, const LINT& 1n) 


{ 
if (lm.(status == E LINT INV) 
LINT::panic (E_LINT VAL, "==", 1, LINE); 
if (ln.(status == E LINT INV) 
LINT::panic (E_LINT VAL, "==", 2, _LINE_); 
if (&ln == &lm) 
return 1; 
else 


return equ 1 (lm.n 1, ln.n 1); 
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除了 已 讨论 的 构造 函数 和 运算 符 以 外 ， 还 存在 其 他 LINT 函数 可 以 使 第 一 部 分 开发 的 
C 函数 适用 于 LINT WR. VER MMIC, RMR Ka “RAR” KRM “BMI” K K 
数 。 函 数 实 现 将 辅 以 实例 ， 或 者 给 出 合理 使 用 函数 所 需 的 信息 表 。 在 下 面 的 章节 中 ， 将 详 
尽 介 绍 以 LINT 对 象 格式 输出 的 函数 ， 这 些 函 数 可 利用 C++ 标准 库 所 包含 的 stream 类 的 
特性 。 一 些 可 能 出 现 的 应 用 ， 尤 其 是 用 户 定 义 类 的 对 象 的 格式 化 输出 ， 在 很 多 C++ 教程 
中 都 只 是 简短 描述 ， 因 此 我 们 打算 借 此 机 会 阐明 输出 LINT 对 象 所 需 的 函数 构造 。 


15. 1 算术 


下 面 的 成 员 函 数 实现 基本 的 算术 运算 ， 并 作为 累加 器 用 于 整数 剩余 类 环 计 算 模 运算 : 
在 函数 终止 后 ， 被 调用 函数 所 属 的 对 象 将 包含 图 数 结果 作 为 隐 含 人 参数。 累加 需 函 数 是 高 效 
的 ， 因 为 就 算 没 有 内 部 辅助 对 象 的 帮助 ， 它 也 可 以 最 大 程度 地 扩展 ， 因 此 市 省 不 必要 的 赋 
值 和 调用 构造 函数 。 

在 函数 计算 结果 自由 赋值 不 可 避免 的 情况 下 ， 或 者 在 带 结果 的 成 员 函 数 的 隐 含 参数 被 
意外 重 写 的 情况 下 ， 成 员 函 数 通过 同名 的 类 似 友 元 函数 以 及 其 他 的 友 元 困 数 进行 扩展 。 这 
里 将 不 再 进一步 讨论 ， 但 列 入 附录 B 中 。 如 何 处 理 LINT AZ r A AY CLINT 函数 所 导致 
的 错误 情况 ， 将 在 第 16 章 中 详细 讨论 。 

在 列 出 公共 成 员 困 数 之 前 ， 先 看 一 看 才 图 数 实现 的 例子 : 

LINT& LINT::mexp (const LINT& e, const LINT& m ); 

和 

LINT& LINT::mexp (USHORT e, const LINT& m); 

可 惜 ，C++ 并 未 对 该 运算 提供 运算 符 。 函 数 mexp () 的 构建 方式 是 这 样 的 : 依据 运算 对 象 的 
类 型 ， 应 用 最 优 的 C 图 数 mexpk 1 () mexpkm 1 () umexp 1() 和 umexpm 1() (使 用 相应 的 
算术 友 元 函数 ， 可 同样 处 理 珊 USHORT FE AY FE PKI wmexp 1 () 和 wmexpm 1()). 


: 自动 应 用 Montgomery F tR (FRATA) 
const LINTE& 
LINT: :mexp (const LINT& e,const LINT& m); 


: BARR (A) 
e( 49 žk) 
m( # BK ) 
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返回 : 指向 余数 的 指针 


例子 : a.mexp (e,m); 





const LINT& LINT::mexp (const LINT& e, const LINT& m) 

{ 
int error; 
if (status == E_LINT_INV) panic (E LINT VAL, "mexp", 0, _LINE ); 
if (status == E LINT_INV) panic (E_LINT VAL, "mexp", 1, _ LINE ); 
if (status == E LINT INV) panic (E_LINT VAL, "mexp", 2, _ LINE ); 


err = mexp 1 (n 1, e.n_1, nl, m.n_1); 
/* mexp_1() uses mexpk 1() or mexpkm 1() */ 
Switch (error) 
{ 
case 0: 
status = E LINT OK; 
break; 
case E_CLINT DBZ: 
panic (E_LINT DBZ, "mexp", 2, _ LINE ); 
break; 
default: 
panic (E_LINT_ERR, "mexp", error, _LINE ); 
} 


return *this; 


} 
TARE: 模 需 


语法 ; const LINT& 
LINT: :mexp (USHORT e const LINT& m); 


例子 : a.mexp (e,m); 





const LINT& LINT::mexp (USHORT e, const LINT& m) 
{ 


int err; 
if (status == E LINT INV) panic (E LINT VAL, "mexp", O, _ LINE ); 
if (status == E LINT INV) panic (E_LINT VAL, "mexp", 1, _ LINE); 


err = umexp 1 (n 1, e, n 1, m.n 1); 


switch (err) 


{ 
// Code as above with mexp (const LINT& e, const LINT& m) 


} 


return *this; 
} 
现在 展示 为 外 几 个 算术 和 数论 的 成 员 函 数 。 


功能 : 加 法 


Wik: const LINTS 





输入 : 


返回 : 
例子 : 
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LINT: :add (const LINT& s); 
隐 含 参数 (加 数 ) 

s( 加 数 ) 

指向 和 的 指针 

a.add(s) ;执行 运算 at=s; 


: const LINT& 


LINT::sub(const LINT& s); 


s( 减 数 ) 


: 指向 差 的 指针 
: a.sub(s) ;执行 运算 a-=s; 


: 乘法 


: const LINTE& 


LINT: :mul (const LINT& s); 


: 隐 含 参数 (因子 ) 


s( 因 子 ) 


: 指向 积 的 指针 
: a.mul(s) ;执行 运算 a*=s; 


: Fz 
: const LINT& 


LINT::sqr (void); 


: 隐 含 参数 (因子 ) 
: 指向 隐 含 参数 的 指针 ， 该 参数 包含 平方 值 
: a.sqz(); 执 行 运 算 a*=a; 


: 带 余 除法 


: const LINT& 


LINT::divr(const LINTE d LINT r); 


: 隐 含 参数 (被 除数 ) 


d( 除 数 ) 


: Ir( 被 除数 模 d 的 余数 ) 
: 指向 隐 含 参数 的 指针 ， 该 参数 包含 商 
: a.divr(d,r) ;执行 运算 add; r=a%d; 
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: 求 余数 
: const LINT& 
LINT: :mod (const LINT& d); 
: 隐 含 参数 (被 除数 ) 
d( 除 数 ) 
: 指向 隐 含 参数 的 指针 ， 该 参数 包含 模 d 的 余数 
: a.mod(d) ;执行 运算 ad=d; 


: 求 模 2 的 笑 的 余数 

: const LINT& 
LINT: :mod2 (const USHORT e); 

: 隐 含 参数 (被 除数 ) 
e( 除 数 2 的 项 的 指数 ) 

: 指向 隐 含 变量 的 指针 ， 变 量 包 含 被 除数 模 2° 的 余数 

: a.mod 2(e) ;执行 运算 a%=d;， 这 里 d=2° 

: mod2 不 能 通过 重 载 前 面 提 到 的 函数 mod() 来 构建 ， 因 为 mod () 也 接受 一 个 
USHORT 参数 ， 通 过 适当 地 构造 函数 自动 将 它 转换 为 LINT 对 象 。 因 为 根据 
参数 无 法 区 分 是 哪 一 个 函数 ，mod2 () 因 而 得 名 。 


: 检验 模 m 是 否 相 等 
: int 
LINT: :mequ (const LINT& b,const LINT& m); 
H Kae se a 
第 二 个 参数 b 
模 数 m 
: 1, WR a=b mod m 
0, ÆA] 
: if (a.mequ(b,m))//... 


: 模 加 法 
: const LINT& 
LINT: :madd (const LINT& s,const LINT& m); 
: 隐 含 参数 (加 数 ) 
s( 加 数 ) 
m( 模 数 ) 
: 指向 隐 含 参数 的 指针 ， 该 参数 包含 模 m 的 和 


: a.madd(s,m); 


: 模 减 法 
: const LINT& LINT::msub(const LINT& s, 
const LINT& m); 





输入 : 
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隐 含 参数 (被 减 数 ) 
s( 减 数 ) 
m( 模 数 ) 


: 指向 隐 含 参数 的 指针 ， 该 参数 包含 模 m 的 差 


: a.msub(s,m); 


: 模 乘 法 
: const LINT& LINT::mmul (const LINT& s, 


const LINT& m); 


: 隐 含 参数 (因子 ) 


s( AF) 
m( # BK ) 


: 指向 隐 含 参数 的 指针 ， 该 参数 包含 模 m 的 积 


: a.mmul(s,m); 


: FEA 
: const LINT& LINT::msqr (const LINT& m); 
: 隐 含 参数 (因子 ) 


m( 模 数 ) 


: 指向 隐 含 参数 的 指针 ， 该 参数 包含 模 m 的 平方 


: a.msqr (m); 


: 2 ay AR AY ARR 
: const LINT& LINT: :mexp2 (USHORT e, 


const LINT& m); 


: 隐 含 变量 ( 底 ) 


e(2 的 笑 的 指数 ) 
m( 模 数 ) 


: 指向 隐 含 参数 的 指针 ， 该 指针 包含 模 下 的 震 


: a.mexp2 (e,m); 


: HRO 元 方法 ，Montgomery 约 简 ) 
语法 : const LINT& LINT::mexpkm(const LINT& e, 
const LINT& m); 
: BERR UR) 
e( 指 数 ) 
m ay 3k AK HK ) 
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: 指向 隐 含 参数 的 指针 ， 该 指针 包含 模 m 的 暴 


: a.mexpkm (e,m); 


: R 元 方法 ，Montgomery 约 简 ) 

: const LINT& LINT::mexp5m(const LINT& e, 
const LINT& m); 

: 隐 含 参数 ( 底 ) 
e( 指 数 ) 
m( 奇 数 模 数 ) 

: 指向 隐 含 参数 的 指针 ， 该 指针 包含 模 m 的 需 


: a.mexpm(e,m); 


: 左 / 右 移 
: const LINT&é LINTs shitt (int noofbits); 
: 隐 含 参数 (被 乘 数 /被 除数 ) 
(+/- )noofbits( 要 移动 的 位 数 ) 
: 指向 隐 含 参数 的 指针 ， 该 指针 包含 移 位 运算 结果 
: a.shift (512) ;执行 运算 a<< = 512; 


: 检验 LINT 对 象 对 2 的 整除 性 
: int 

LINT::iseven (void); 
: 检验 作为 隐 伟 参数 的 对 象 a 
: 1， 如果 a 为 奇数 ; 0， 否 则 


: if(a.iseven())//... 


: 设置 LINT 对 象 的 一 个 二 进 制 位 为 1 
: const LINT& 
LINT: :setbit (unsigned int pos); 
: 隐 含 参数 a 
待 设置 位 的 位 置 pos( 从 0 开始 计数 ) 
: 指向 位 于 位 置 pos 的 已 设置 为 a 的 指针 
: a.setbit (512); 


: 检验 LINT Xf RAY — A — Ht A 


: int 


LINT: :testbit (unsigned int pos); 
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: 隐 含 参数 a 

待 检验 的 位 的 位 置 pos( 从 0 开始 计数 ) 
: 1， 如 果 位 置 pos 的 位 已 被 设置 ; 0, SM 
2 


: 设置 LINT 对 象 的 一 个 二 进 制 位 为 0 
: const LINT& 


LINT: :clearbit (unsigned int pos); 
: BAFA a 
待 清除 的 位 的 位 置 pos( 从 0 开始 计数 ) 


: 指向 位 置 pos 已 被 清除 位 a 的 指针 
: a.Clearbit (512); 


: 交换 两 个 LINT 对 象 的 值 
: const LINT& 
LINT: :fswap (LINT& b); 
: 隐 含 参数 a 
b( 与 a 交换 的 值 ) 
: 指向 值 为 b 的 隐 含 参数 的 指针 
: a.fswap (b) ;交换 a 与 bb 的 值 





15.2 数论 


对 比 算术 函数 ， 下 面 的 数论 成 员 函 数 不 会 用 结果 重 写 隐 含 的 第 一 参数 。 这 样 做 是 因为 
实践 证 明 在 更 复杂 的 函数 中 与 简单 算术 函数 中 一 样 的 重 写 并 不 实用 。 因 此 下 列 函数 返回 元 
素 值 而 不 是 指针 。 


: 计算 小 于 或 等 于 LINT 对 象 的 以 2 为 底 的 对 数 的 最 大 整数 
: unsigned int 
LINT: :ld(void) ; 
: 隐 含 参数 a 
: a 的 以 2 为 底 的 对 数 的 整数 部 分 
: i= a.ld(); 


: 计算 两 个 LINT 对 象 的 最 大 公约 数 
: LINT 

LINT::gcd(const LINT& H)? 
: 隐 含 参数 a 

第 二 参数 b 
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: 输入 值 的 gcd (a,b) 
: C= a.gcd(b); 


: LINT 
LINT: :inv (const LINT& n); 
: RAAK a 
模 数 n 
: atin RK e RARA O, MW gcd(a,n)>1, 且 和 来 法 迹 不 存在 ) 


: C= a.inv(n); 


: 计算 a 和 hb 的 最 大 公约 数 以 及 aa 和 b 的 线性 组 合式 g= ua+ vb 
: LINT 
LINT::xgcd(const LINT& D, 
LINT& u,int& sign u, 
LINT& v,int& sign v); 
: 隐 含 参数 a， 第 二 参数 b 
: 表达 式 ged(a,b) HAF u 
au 的 符号 sign_u 
表达 式 gcd(avb) 的 因子 v 


V 的 符号 sign v 
: 输入 值 的 gcd (a,b) 


: g= a.xgcd(b,u,sign u,v,sign v); 


: 计算 两 个 LINT 对 象 的 最 小 公 倍 数 (lcm) 
: LINT 
LINT::lcom(const LINT& b); 
: 隐 含 参数 a 
因子 b 
: 输入 值 的 lcm(a,b) 


: C= a.lcm(b); 


: 解 线性 同 余 方程 组 x 三 a mod m, x=b mod n 
: LINT 

LINT::chinrem (const LINT& m,const LINT& b, const LINT& n); 
: RAAK a 

模 数 m 

参数 b 

AR BK n 
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: 同 余 方 程 组 的 解 x， 如 果 成 功 (Get Warning Status()==E LINT ERR 表明 出 


现 上 溢 或 者 同 余 式 无 公共 解 ) 


x=a.chinrem(m,b,n) ; 





友 元 函数 chinrem (int noofeq, LINT** coeff) 接 受 一 个 包含 LINT 对 象 指针 的 数组 co- 
eff， 该 二 维 数组 给 出 了 “任意 多 的 ”线性 同 余 方程 式 zx=w mod mr (一 1,... ，noofeq) 的 系 
WN ais Mi s Gos Mz şs Q39 Mz gao (参见 附录 B). 


: 计算 两 个 LINT 对 象 的 Jacobi 符号 
¿int 

LINT::jacobi (const LINT& b); 
: 隐 含 参数 a， 第 二 参数 b 
: 输入 值 的 Jacobi 符号 


: i=a.jacobi (b); 


: 计算 LINT 对 象 的 平方 根 的 整数 部 分 
: LINT 
LINT: :introot (void) ; 
: BeBRa 
: 输入 值 的 平方 根 的 整数 部 分 


: C= a.root(); 


: 计算 LINT 对 象 的 5 次 方 根 的 整数 部 分 

: LINT 
LINT::introot (const USHORT b); 

: 隐 含 参数 a， 根 指数 了 b 

: 输入 值 的 5 次 方 根 的 整数 部 分 


: C= a.root(b); 


: 计算 LINT 对 象 模 素数 pp 的 平方 根 
: LINT 


LINT::root (const LINTE p); 

: BAAR a, FRR po 

: 己 的 平方 根 ， 如 果 a 为 模 pp 的 二 次 剩余 
0， 否 则 (Gel Warning Status()==E LINT ERR 指示 a 不 是 模 pp 的 二 次 剩 
余 ) 


: c=a.root (p); 
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: 计算 LINT 对 象 模 素 数 积 p。q 的 平方 根 
: LINT 
LINT*s Poo (const LINTE p,const LINTE q); 
: 隐 含 变量 a 
素数 模 数 p>2, KRA q> 
: 旨 的 平方 根 ， 如 果 是 模 Pp。dq 的 二 次 剩余 
0, GM (Get Warning Status()==E LINT ERR 表明 a 不 是 模 p，q 的 二 
次 剩余 ) 


: C=a.root (p,q); 


: 检验 一 个 LINT 对 象 是 否 是 平方 数 
a int 
LINT::issqr (void) 7 
: a 的 平方 根 ， 如 果 a 是 一 个 平方 数 
0, PR 二 一 0 或 者 不 是 一 个 平方 教 
: if (0==(r=a.issqr()))//... 


: LINT 对 象 是 否 是 素数 的 概率 性 检验 


: int 


LINT::isprime (int nsp,int rnds); 
: 检验 隐 含 参数 p 

nsp( 做 除法 检验 的 素数 的 个 数 ; RAA 302) 

rnds( 通 过 检验 的 个 数 ; 默认 为 0， 用 于 通过 函数 prime 1() 自动 优 化 ) 
: 1, wA p“ 可 能 为 ”素数 

0, SR 
: if(p.isprime())//... 


: 计算 LINT 对 象 的 偶数 部 分 
: const int 

LINT: :twofact (LINT& b); 
: IZ SER a 
: bla 的 奇数 部 分 ) 
: a 的 偶数 部 分 的 指数 


: e=a.twofact (b); 





15.3 LINT 对 象 的 MO 流 


C++ 标准 库 所 包含 的 类 ， 如 istream 和 ostream， 都 是 由 基 类 ios 所 导出 的 输入 / 输 
出 设备 的 抽象 。iostream 类 则 是 由 istream Ml ostream 导出 的 ， 它 能 够 对 对 象 进 行 读 和 
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写 操作 S ， 借 助 插入 运算 符 “<< ”和 提取 运算 符 “>> ”完成 输入 和 输出 (参见 LTealj， 第 
8 章 ) 。 这 些 都 来 源 于 对 移 位 运算 的 重 载 ， 例 如 在 如 下 形式 中 


ostream& ostream: :operator<< (int i); 
istream& istream::operator>> (int& i); 


分 别 通过 表达 式 

cout << i; 
实现 整数 值 的 输出 和 输入 。 

作为 类 ostream 和 istream 的 特殊 对 象 ，cout 和 cin 代表 了 与 标准 C 库 中 对 象 
stdout 和 stdin 一样 的 抽象 文件 。 

使 用 流 运算 符 “<< ”和 “>> ”进行 输入 /输出 ， 无 需 考虑 正 使 用 的 硬件 的 特殊 性 质 。 
就 其 本 身 而 言 ， 这 不 是 什么 新 东西 ， 因 为 C 函数 printf () 也 如 此 : printf() 的 指令 与 平 
台 无 关 ， 而 结果 一 致 。 然 而 ， 除 了 改变 语法 以 便 形象 地 在 流 中 插入 对 象 以 外 ， 流 的 C++ 
实现 的 优势 在 于 严格 的 类 型 检查 ， 对 于 printf () 这 可 能 是 受到 限制 的 ， 同 样 也 包括 可 扩 
展 性 。 特 别 地 ， 通 过 重 载 插入 和 提取 来 利用 后 一 个 特性 ， 可 以 支持 LINT 对 象 的 输入 和 和 输 
出 。 为 此 ， 类 LINT 定义 了 如 下 的 stream 运算 符 : 


friend ostream& operator<< (ostream& s, const LINT& 1n); 
friend fstream& operator<< (fstream& s, const LINT& 1n); 
friend ofstream& operator<< (ofstream& s, const LINT& 1n); 
friend fstream& operator>> (fstream& s, LINT& 1n); 

friend ifstream& operator>> (ifstream& s, LINT& 1n); 


重 载 插 入 运算 符 以 便 输出 LINT 对 象 ， 简 单 形式 如 下 所 示 : 
#include <iostream.h> 


ostream& operator<< (ostream& s, const LINT& 1n) 


{ 
if (ln.status == E LINT INV) 
LINT: :panic (E LINT VAL, "ostream operator <<", 0, _LINE_); 


s << xclint2str (ln.n_1, 16, 0) << endl; 
s << ld (In) << " bit" << endl; 
return sS; 


} 

运算 符 “<< ”把 LINT 对 象 的 数字 输出 定义 为 十 六 进 制 ， 并 在 另 一 行 添加 该 数 的 二 
进 制 长 度 。 在 下 一 他， 将 考虑 借助 格式 化 函数 来 改善 LINT 对 象 输 出 形式 的 可 能 方式 ， 并 
使 用 操纵 大 来 目 定 义 输出 。 


15.3.1 LINT 对 象 的 格式 化 输出 


这 一 节 将 利用 C++ 标准 库 的 基 类 ios ARE HRR AAO H ENX LINT 对 象 的 格式 化 
输出 困 数 。 而 且 ， 将 创建 操纵 器 使 LINT 对 象 的 输出 形式 可 定制 ， 正 如 C++ 定义 的 标准 类 
一 样 简单 。 

LINT 对 象 格式 化 输出 的 关键 是 由 插入 运算 符 处 理 的 格式 化 标准 的 可 能 情况 。 为 此 ， 
将 考虑 提供 给 类 ios 的 机 制 ( 详 情 请 参见 LTealj 第 6 章 ， 以 及 [Pla2] 第 6 Se), HRA RAX 


O RHA + iostream 作为 C++ 标准 库 中 相应 术语 的 同义词 ， 迄 今 为 止 C++ 标准 库 中 已 知 的 类 名 均 带 有 前 级 
basic 。 这 样 做 的 理由 源 于 标准 库 本 身 ， 至 今 均 使 用 typedefs 来 提供 已 知 的 类 名 (参考 [KSch]， 第 12 章 )。 
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xalloc () 在 由 ios 所 导出 的 类 的 对 象 中 ， 分 配 一 个 long 类 型 的 状态 变量 ， 并 返回 一 个 指 
向 该 状态 变量 的 long 类 型 索引 。 这 个 索引 存储 在 long 类 型 变量 flagsindex 中 。 通 过 这 
个 索引 ， 成 员 函 数 ios::iword() 可 用 于 对 已 分 配 的 状态 变量 进行 读 和 写 操 作 ( 人 参见 
[Pla2], % 125 页 )。 

为 了 确保 这 发 生 在 LINT 对 象 输 出 之 前 ， 我 们 在 flintpp.h 文件 中 定义 了 类 LintInit: 


class LintInit 
{ 
public: 
LintInit (void); 
}; 
LintInit::LintInit (void) 
{ 
// get index to long status variable in class ios 
LINT: :flagsindex = ios::xalloc(); 
// set the default status in cout and in cerr 
cout. iword (LINT::flagsindex) = 
cerr. iword (LINT::flagsindex) = 
LINT: :lintshowlength|LINT: :linthex|LINT: :lintshowbase:; 
} 

类 LintInit 只 有 唯一 一 个 元 素 ， 即 构造 函数 LintInit::LintInit(). Wor, Æ% 
LINT 中 定义 了 一 个 LintInit 类 型 的 成 员 数 据 setup, EH Ma AM LintInit::Lint- 
Init() 初 始 化 。 在 初始 化 时 会 调用 xalloc() ， 由 此 分 配 的 状态 变量 给 出 了 已 建立 的 LINT 
对 象 的 标准 输出 格式 。 下 面 说 明 LINT 类 声明 的 一 部 分 ， 包 括 友 元 函数 LintInit () 的 声 
明 ， 变 量 flagsindex、setup 以 及 各 个 enum 类 型 状态 值 的 声明 。 

class LINT 

{ 
public: 
DP ates 
enum { 
lintdec = 0x10, 
lintoct = 0x20, 
linthex = 0x40, 
lintshowbase = 0x80, 
lintuppercase = 0x100, 
lintbin = 0x200, 
lintshowlength = 0x400 
}; 
ih +45 
friend LintInit::LintInit (void); 
fF ves 
private: 
IF we 
static long flagsindex; 
static LintInit setup; 
FP Eia 
}; 
将 变量 setup 设 为 static 类 型 有 这 样 的 作用 : 对 于 所 有 的 LINT 对 象 ， 这 个 变量 仅 
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仅 出 现 一 次 ， 因 此 相关 联 的 构造 函数 LintInit () 也 只 被 调用 一 次 。 

现在 让 我 们 软 一 歇 ， 思 考 一 下 所 有 这 些 努 力 会 带 给 我 们 什么 。 通 过 状态 变量 可 以 很 好 地 
设置 输出 格式 ， 而 该 变量 作为 LINT 的 成 员 将 更 容易 处 理 。 我 们 选用 方案 的 决定 性 优势 在 于 ， 
对 于 每 一 个 输出 流 可 以 分 别 并 相互 独立 地 设置 输出 格式 (参见 LPla2j， 第 125 页 )， 但 这 无 法 
通过 一 个 内 部 LINT 状态 变量 来 完成 。 不 过 ， 借 用 类 ios 的 机 制 可 以 实现 此 目的 。 

既然 已 考虑 了 一 些 初步 措施 ， 现 在 就 将 状态 函数 定义 为 LINT 的 成 员 函 数 ， 如 表 15-1 所 示 。 


表 15-1 LINT 状态 函数 及 其 作用 


状态 函数 说 明 
static long LINT::flags (void); 读 与 cout 相关 的 状态 变量 
static long LINT::flags (ostreamg); 读 与 任意 输出 流 相关 的 状态 变量 
static long LINT::setf (long); 设置 与 cout 相关 的 状态 变量 的 单个 位 ， 并 返回 前 值 
static long LINT::setf (ostream&,long) ; 设置 与 任意 输出 流 相 关 的 状态 变量 的 单个 位 ， 并 返回 前 值 
static long LINT::unsetf (long); 存储 与 cout 相关 的 状态 变量 的 单个 位 ， 并 返回 前 值 
static long LINT::unsetf (ostream&, long); aa Fee RS Re a, FEE 
static long LINT::restoref (long); 使 用 某 一 值 来 设置 与 cout 相关 的 状态 变量 ， 并 返回 前 值 
static long LINT::restoref (ostream&, long) ; ee es ila 


函数 LINT: :setf () 作为 状态 函数 的 实现 实例 ， 它 返回 与 输出 流 相关 的 Long 型 状态 
变量 的 当前 值 。 
long LINT::setf (ostream& s, long flag) 
{ 
long t = s.iword (flagsindex); 
// the flags for the basis of the numerical representation 
// are mutually exclusive 
if (flag & LINT::lintdec) 
{ 
s.iword (flagsindex) = (t & “LINT::linthex & ~LINT::lintoct 
& “LINT::lintbin) | LINT::lintdec; 
flag “= LINT::lintdec; 
} 
if (flag & LINT::linthex) 
{ 
s.iword (flagsindex) = (t & “LINT::lintdec & ~LINT::lintoct 
& “LINT::lintbin) | LINT::linthex; 
flag = LINT::linthex; 
} 
if (flag & LINT::lintoct) 
{ 
S.iword (flagsindex) = (t & “LINT::lintdec & ~LINT::linthex 
& “LINT::lintbin) | LINT::lintoct; 
flag “= LINT::lintoct; 
} 
if (flag & LINT::lintbin) 


{ 
s.iword (flagsindex) = (t & ~LINT::lintdec & ~LINT::lintoct 
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& “LINT::linthex) | LINT::lintbin; 
flag “= LINT::lintbin; 
} 


// all remaining flags are mutually compatible 

s.iword (flagsindex) |= flag; 

return t; 

} 

首 助 这 些 以 及 表 15-1 中 的 其 他 函数 ， 可 以 确定 如 下 的 输出 格式 。 首 先 ， 标 准 输出 格 
式 将 一 个 LINT 对 象 的 值 表示 为 一 个 字符 串 形 式 的 十 六 进 制 数 ， 这 里 的 输出 按照 LINT 对 
象 的 位 数 要 求 占 据 了 屏幕 的 很 多 行 。LINT 对 象 的 位 数 则 显示 在 另 一 行 的 左边 。 下 面 几 种 
其 他 的 LINT 对 象 输 出 模式 也 已 经 实现 了 。 

1. 数字 表示 的 基 

LINT 对 象 的 数字 表示 的 标准 基 为 16， 长 度 表 示 是 10。 对 于 标准 输出 流 cout， 可 调用 
pki 2X 

LINT: :setf (LINT: :base) ; 
对 任意 的 输出 流 ， 可 调用 函数 

LINT: :setf (ostream, LINT::base); 
来 对 LINT 对 象 设 置 一 个 特定 的 基 。 这 里 ， 基 可 假设 为 如 下 的 任 一 个 值 : 

linthex、 lintdec、 lintoct、 lintbin 
这 些 值 代表 相应 的 输出 格式 。 例 如 ， 调 用 LINT::setf (Lintdec) 将 输出 格式 设置 为 十 进 
制 数字 。 长 度 表示 的 基 可 通过 函数 

ios::setf (ios::iosbase); 
设置 ， 其 中 iosbase= hex, dec, oct. 

2. 数值 表示 的 前 缀 的 显示 

默认 情况 下 ， 一 个 LINT 对 象 应 带 前 缀 显示 ， 以 表示 数值 形式 。 调 用 

LINT: :unsetf(LINT: : Lintshowbase) ; 

LINT: :unsetf (ostream, LINT::lintshowbase) ; 


可 改变 这 种 默认 设置 。 

3. 采用 大 写字 母 的 十 六 进 制 数字 表示 

默认 情况 下 ， 采 用 十 六 进 制 数字 显示 ， 以 及 小 写字 母 ab c de ft 表示 的 十 六 进 制 形 式 
PA HAR ox 来 显示 。 然 而 ， 调 用 


LINT: :setf (LINT::lintuppercase); 
LINT: :setf (ostream, LINT::lintuppercase); 


可 改变 这 一 默认 设置 ， 因 此 显示 前 级 Ox 和 大 写字 母 ABCDEF。 
4. LINT 对 象 的 长 度 显示 
默认 表示 LINT 对 象 的 二 进 制 长 度 。 通 过 
LINT: :unsetf (LINT::lintshowlength) ; 
LINT: :unsetf (ostream, LINT::lintshowlength) ; 


可 改变 这 一 默认 设置 ， 使 不 显示 长 度 。 
5. 恢复 数值 表示 的 状态 变量 
用 于 LINT 对 象 格 式 化 的 状态 变量 可 通过 两 个 函数 
LINT: :unsetf (ostream, LINT::flags(ostream) ) ; 
LINT::setf (ostream, oldflags); 


恢复 为 先前 值 oldflags。 在 重 载 函 数 restoref () 中 也 包含 这 两 个 函数 
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LINT::restoref (flag); 
LINT::restoref (ostream, flag); 


其 中 ， 标 记 (flag) 可 以 结合 起 来 ， 例 如 下 面 的 调用 : 

LINT: :setf (LINT::bin | LINT::showbase); 

但 是 ， 这 只 在 标记 不 互 斥 时 才 被 允许 。 

最 终 按照 要 求生 成 LINT 对 象 表示 形式 的 输出 函数 ， 是 上 边 粗 略 描述 的 运算 符 
ostreamé& operator << (ostream& s,LINT ln) 的 扩展 ， 它 对 输出 流 的 状态 变量 进行 评 
估 ， 并 产生 适当 的 输出 。 为 此 ,运算 符 采 用 了 包含 在 flintpp. cpp 中 的 辅助 函数 
lint2str(),， 它 轮流 调用 函数 xclint2str 1() 以便 将 LINT 对 象 的 数值 表示 成 字符 串 
形式 .。 

ostream& operator << (ostream& s, const LINT& 1n) 


{ 
USHORT base = 16; 


long flags = LINT::flags (s); 
char* formatted lint; 
if (ln.status == E _LINT INV) 
LINT: :panic (E_LINT VAL, "ostream operator<<", 0, _ LINE); 
if (flags & LINT::linthex) 
{ 
base = 16; 


} 


else 


{ 
if (flags & LINT::lintdec) 
{ 
base = 10; 


} 


else 


{ 
if (flags & LINT::lintoct) 


{ 


base = 8; 


} 


else 


{ 
if (flags & LINT::lintbin) 
{ 
base = 2; 


} 


} 
if (flags & LINT::lintshowbase) 
{ 


formatted_lint = lint2str (ln, base, 1); 


} 


else 


{ 
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formatted lint = lint2str (ln, base, 0); 
} 
if (flags & LINT::lintuppercase) 


{ 
strupr 1 (formatted_lint); 


} 
s << formatted lint << flush; 


if (flags & LINT::lintshowlength) 
{ 
long _flags = s.flags (); // get current status 
s.setf (ios::dec);// set flag for decimal display 
s << endl << ld (ln) << " bit" << endl; 
s.setf (flags); // restore previous status 


} 


return s; 


15.3.2 操纵 器 


在 前 面 机 制 的 基础 上 ， 本 节 我 们 想 要 获得 更 方便 控制 LINT 对 象 输出 格式 的 方法 。 为 
此 ， 可 采用 操纵 器 ， 它 直接 放 在 输出 流 中 ， 可 产生 与 调用 以 上 状态 函数 一 样 的 效果 。 操 纵 
髓 是 函数 的 地 址 ， 通 过 特殊 的 插入 运算 符 能 将 函数 的 指针 作为 参数 传递 给 操纵 器 指向 的 函 


数 。 下 列 图 数 可 作为 示例 : 
ostream& LintHex (ostream& s) 


{ 
LINT: :setf (s, LINT::linthex); 
return s; 


} 


PK AN TE FF Ee M HH it ostream& s 的 环境 下 调用 状态 函数 set f(s,LINT::linthex), A 
此 LINT 对 象 的 结 采 为 十 六 进 制 数 。 没有 括号 的 图 数 名 LintHex 被 视 为 图 数 指针 (参见 
LLIPP], 第 202 页 )， 借 助 插入 运算 符 可 被 设置 为 输出 流 中 的 操作 数 : 


ostream& ostream: :operator<< (ostream& (*pf)(ostream&) ) 


{ 
return (*pf)(*this); 
} 
定义 在 类 ostream 中 : 
LINT a ("Ox123456789abcdef0"); 
cout << LintHex << a; 


ostream s; 
s << LintDec << a; 


LINT PRIA sit PK BU TK AR AG C++ 库 中 标准 操纵 器 同样 的 模式 工作 ， 例 如 dec, hex, 
oct, flush 和 endl: 插入 运算 符 << 仅仅 在 适当 的 地 方 调用 操纵 器 函数 LintHex () 或 者 
LintDec ()。 操 纵 器 确保 分 别 属于 输出 流 cout Als 的 状态 标志 被 设置 。 用 于 LINT 对 象 输 
出 的 重 载运 算 符 << 按照 要 求 格式 来 表示 LINT 对 象 。 

LINT 对 象 的 输出 格式 设置 可 借助 表 15-2 所 列 出 的 操纵 器 来 实现 。 
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表 15-2 LINT 操纵 器 及 其 意义 


操纵 器 作用 : LINT 值 的 输出 形式 
LintBin 作为 二 进 制 数 
LintDec 作为 十 进 制 数 
LintHex 作为 十 六 进 制 数 
LintOct 作为 八进制 数 
LintLwr 带 小 写字 母 a、b、c、d、e 的 十 六 进 制 表示 
LintUpr 带 大 写字 母 ARA、B、C、D,、 己 的 十 六 进 制 表示 
LintShowbase 带 前 缀 的 数值 表示 (0x BK OX 用 于 十 六 进 制 ，0b 用 于 二 进 制 ) 
LintNobase 不 带 前 缀 的 数值 表示 
LintShowlength 表明 数字 位 数 
LintNolength 不 表明 数字 位 数 


除了 表 15-2 提 到 的 操纵 磊 以 外 ， 不 需要 参数 的 操纵 器 


LINT_omanip<int> SetLintFlags (int flags) 


和 


LINT_omanip<int> ResetLintFlags (int flags) 


thay AERA, EAR PEIRA PHA OLINT: :setf () M LINT: :unsetf (): 


cout << SetLintFlags (LINT::flag) << ...; // turn on 
cout << ResetLintFlags (LINT::flag) << ...; // turn off 


对 于 这 些 操纵 器 的 实现 ， 读 者 可 以 参照 与 模板 类 omanip< T> 的 解释 相关 的 源 
(flintpp.h 和 flintpp.cpp)， 见 LPla2]， 第 10 Æ., LINT 标志 如 表 15-3 所 示 。 


R 15-3 用 于 输出 格式 化 的 LINT 标志 及 作用 


标志 值 
lintdec 0x010 
lintoct 0x020 
linthex 0x040 
lintshowbase 0x80 
lintuppercase 0x100 
lintbin 0x200 
lintshowlength 0x400 


i F EAF RITET A ADB R AE BR AE AY ET E o 
#include "flintpp.h" 

#include <iostream.h> 

#include <iomanip.h> 


main() 

{ 
LINT n ("0x0123456789abcdef"); // LINT number with base 16 
long deflags = LINT::flags(); // store flags 


cout << "Default representation: " << n << endl; 


LINT: :setf (LINT::linthex | LINT::lintuppercase); 

cout << “hex representation with uppercase letters: " << n << endl; 

cout << LintLwr << "hex representation with lowercase letters: " << n << endl; 
cout << LintDec << "decimal representation: " << n << endl; 

<< n << endl; 


cout << LintBin << “binary representation: 
cout << LintNobase << LintHex; 
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cout << "representation without prefix: " << n << endl; 
cerr << "Default representation Stream cerr: " << n << endl; 


LINT::restoref (deflags); 
cout << “default representation: " << n << endl; 


return; 


} 


15.3.3 LINT 对 象 的 文件 1/0 


用 于 LINT 对 象 写 人 和 读 出 文件 的 函数 在 实际 应 用 中 是 必 不 可 少 的 。C++ 标准 库 中 的 
输入 /输出 类 包含 这 样 的 成 员 函 数 ， 可 以 将 对 象 设置 为 用 于 文件 操作 的 输入 或 输出 流 ， 这 
样 我 们 可 以 幸运 地 使 用 上 面 用 到 的 相同 的 语法 。 输 出 到 文件 所 需 的 运算 符 与 上 一 节 的 类 
似 ， 但 是 ， 这 里 我 们 可 以 不 考虑 格式 化 。 

friend ofstream& operator<< (ofstream& s, const LINT& 1n); 


friend fstream& operator<< (fstream& s, const LINT& 1n); 
用 于 类 ofstream 的 输出 流 和 类 fstream Wit, Z fstream 的 流 支 持 两 个 方向 ， 即 输入 和 输出 。 
因为 类 ofstream 由 类 ostream 导出 ， 所 以 可 以 使 用 它 的 成 员 函 数 ostream: :write () 来 将 无 格式 
数据 写 人 文件 。 由 于 只 存储 实际 用 到 的 LINT 对 象 的 数字 ， 所 以 可 以 考虑 利用 数据 媒介 的 存储 空 
间 。 这 里 LINT 对 象 的 USHORT 数字 实际 上 被 写 为 UCHAR 值 的 序列 。 为 了 保证 其 顺序 的 正确 性 且 不 
受 特殊 平台 数值 表示 方案 的 影响 ， 我 们 定义 了 一 个 辅助 函数 ， 它 将 USHORT 值 写成 两 个 UCHAR 类 型 
的 序列 。 这 个 函数 对 与 平台 相关 的 内 存 中 数字 ( 基 256) 的 顺序 保持 中 立 ， 因 此 在 某 类 计算 机 上 所 写 
的 数据 ， 能 够 在 为 一 类 可 能 规定 不 同 数字 顺序 或 者 按照 不 同方 式 解 释 的 计算 机 上 正常 读 取 。 与 此 
相关 联 的 例子 是 各 种 处 理 器 中 的 小 字 节 序 (little-endian) 和 大 字 节 序 (big-endian) 结 构 ， 前 一 种 结构 ， 
数位 递增 ， 内 存 地 址 递增 ; 后 一 种 结构 ， 数 位 递减 ， 内 存 地 址 递减 。 

template <class T> 


int write ind ushort (T& s, clint src) 


{ 
UCHAR buff[sizeof(clint) ]; 


unsigned i, j; 
for (i = 0, j = 0; i < sizeof(clint); i++, j = i << 3) 
buff[i] = (UCHAR)((src & (Oxff << j)) > j); 
} 
s.write (buff, sizeof(clint)); 
if (!s) 
{ 


return -1; 


else 


{ 


return 0; 


} 


O 将 带 地 址 i、i 十 1 的 字 节 B., Ba BARROS ISR, X USHORT 值 w= 二 28Bi+1 十 B;; 车 译 成 大 字 节 序 形式 ,为 
USHORT {E w= 二 2 Bi 十 Bi+1。 类 似 情况 也 适用 于 ULONG 值 的 翻译 。 
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在 有 错误 的 情况 下 函数 write ind ushort () 返 回 值 一 1， 在 运行 成 功 的 情况 下 返回 
0。 它 被 实现 为 一 个 模板 ， 因 此 既 可 以 用 于 ofstream 对 象 ， 又 可 用 于 fstream aR. PA 
数 read ind ushort () 创 建 为 它 的 对 偶 函 数 : 
template <class T> 
int read ind ushort (T& s, clint *dest) 
{ 
UCHAR buff[sizeof(clint) ]; 
unsigned i; s.read (buff, sizeof(clint)); 
if (!s) 
{ 


return -1; 
} 
else 
{ 
*dest = 0; 
for (i = 0; i < sizeof(clint); i++) 
{ 
*dest |= ((clint)buff[i]) << (i << 3); 
} 
return 0; 
} 
} 
输出 运算 符 现在 采用 这 种 中 立 的 格式 将 LINT 对 象 写 和 文件， 为 了 和 弄 清 楚 这 种 情况 ， 
我 们 来 描述 类 stream 的 运算 符 实现 。 
ofstream& operator<< (ofstream& s, const LINT& 1n) 
{ 
if (ln.status == E LINT INV) 
LINT: :panic (E_LINT VAL, "ofstream operator<<", 0, _ LINE ); 
for (int i = 0; i <= DIGITS L (ln.n 1); i++) 
{ 
if (write ind ushort (s, ln.n 1[i])) 
{ 
LINT::panic (E_LINT EOF, "ofstream operator<<", 0, _LINE ); 
} 
} 


return s; 


} 
在 LINT 对 和 象 写 人 文件 之 前 ， 必 须 打 开 该 文件 ， 为 此 可 使 用 构造 函数 : 


ofstream: :ofstream (const char *, openmode) 


或 者 成 员 函 数 


ofstream: :open (const char *, openmode) 
这 两 种 情况 都 必须 设置 ios 标志 ios::binary， 如 下 例 所 示 : 
LINT r ("Ox0123456789abcdef"); 
PE wae 
ofstream fout ("test.io", ios::out | ios::binary); 
fout << r << r*r; 
IT sks 
fout.close(); 
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从 文件 中 导入 LINT 对 象 ， 以 一 种 与 导出 LINT 对 象 到 文件 互补 的 方式 进行 ， 借 助 类 
似 的 运算 符 : 


friend ifstream& operator >> (ifstream& s, LINT& 1n); 
friend fstream& operator >> (fstream& s, LINT& 1n); 


这 两 个 运算 符 首先 读 取 一 个 单一 的 值 ， 它 指出 存储 的 LINT 对 象 的 位 数 。 然 后 恋人 对 
应 的 数字 。 按 照 上 面 的 描述 在 函数 read_ind_ushort () 的 作用 下 读 取 USHORT {É : 


ifstream& operator>> (ifstream& s, LINT& 1n) 
{ 
if (read ind ushort (s, ln.n 1)) 
{ 
LINT::panic (E LINT EOF, "ifstream operator>>", 0, _LINE ); 
} 
if (DIGITS L (ln.n 1) < CLINTMAXSHORT) 
{ 
for (int i = 1; i <= DIGITS L (1n.n_1); i++) 
{ 
if (read ind ushort (s, &ln.n 1[i])) 
{ 
LINT::panic (E_LINT EOF, "ifstream operator>>", 0, _LINE ); 


} 


// No paranoia! Check the imported value! 
if (vcheck 1 (ln.n 1) == 0) 
{ 
ln.status = E LINT OK; 
} 
else 
{ 
ln.status = E LINT INV; 


} 


return s; 


} 

为 打开 将 要 读 取 LINT 对 象 的 文件 ， 有 必要 设置 ios 标志 ios::binary: 
LINT 于 Ss 

i 

ifstream fin; 

fin.open ("test.io", ios::in | ios::binary); 

fin >> © >> S 

OY: ited 

fin.close(); 


在 LINT 对 象 的 输入 中 ， 插 入 运算 符 >> 检查 所 读 的 值 是 否 是 一 个 有 效 的 LINT 对 象 数 
值 表 示 。 如 果 不 是 ， 成 员 数 据 status 将 被 设置 为 E LINT INV， 且 指定 的 目标 对 象 标 记 
为 “未 初始 化 ”。 在 下 一 次 对 该 对 象 操作 的 时 候 LINT 错误 处 理 器 将 启动 ， 这 将 在 下 一 章 中 
详细 研究 。 
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错误 处 理 





MCE, AM Ott! 
— Shakespeare, Julius Caesar) 


16.1 杜绝 慌乱 


上 一 章 中 的 C++ 函数 包含 这 样 的 机 制 : 分 析 在 执行 函数 调用 时 是 否 有 错误 或 者 其 他 
情况 发 生 ， 以 至 于 需要 做 出 特殊 反应 或 警告 。 这 些 函 数 检测 传递 的 参数 是 否 已 初始 化 ， 并 
评估 被 调用 的 C 图 数 的 返回 值 。 

LINT f (LINT arg1，LINT arg2) 

{ 


LINT result; 
int err; 


if (argi.status == E_LINT_ INV) 
LINT: :panic (E LINT VAL, "f", 1, _LINE ); 
if (arg2.status == E_LINT INV) 
LINT::panic (E_LINT VAL, "f", 2, _ LINE ); 
// Call C function to execute operation; error code is stored in err 
err = f 1 (argi.n_l, arg2.n_1, result.n_1); 
switch (err) 
{ 
case 0: 
result.status = E_LINT OK; 
break; 
case E_CLINT OFL: 
result.status = E LINT OFL; 
break; 
case E CLINT UFL: 
result.status = E_LINT_UFL; 
break; 
default: 
LINT: :panic (E_LINT_ERR, "f", err, _ LINE_); 
} 
return result; 
} 
如 果 变 量 status @ AA E_LINT OK， 那么 这 就 是 最 好 的 情形 。 差 一 点 的 情况 是 ， 在 
C 函数 中 出 现 上 洲 或 者 下 洲 ， 变 量 status 被 设置 为 相应 的 值 E_LINT_ OFL 或 者 也 LINT_ 
UFL。 因 为 C 函数 已 经 能 够 使 用 模 Nw 十 1 的 约 简 (参见 第 3 章 ) 应 对 上 洲 与 下 洲 ， 所 以 这 
些 情况 下 函数 正常 终止 。 通 过 成 员 晒 数 
LINT ERRORS LINT::Get_Warning Status (void); 


可 询问 变量 status 的 值 。 
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Ks, RNCABA. “SRO ARE, LINT 函数 总 是 调用 名 为 panic () 的 函数 。 
这 个 成 员 函 数 的 作用 是 : 第 一 ， 输 出 错误 信息 ， 以 帮助 程序 的 使 用 者 知晓 错误 的 发 生 ; 第 
二 ， 确 保 程序 终止 受到 控制 。LINT 错误 信息 使 用 流 cerr 输出 ， 它 包括 已 发 生 错误 的 属性 
信息 、 检 测 到 错误 的 函数 信息 、 引 发 错误 的 参数 信息 。 为 了 使 panic () 能 够 输出 所 有 这 些 
信息 ， 必 须 给 它 提供 来 自 调用 函数 的 信息 ， 如 下 面 的 例子 : 

LINT::panic (E_LINT DBZ, "%", 2, _ LINE. }; 

这 里 声明 一 下 , Æ ANSI ZA LINE 指定 的 行 上 ， 运算 符 “% ”中 出 现 除数 为 0 的 情 
况 是 由 运算 符 的 参数 2 引起 的 。 参 数 声明 如 下 : 0 总 是 表示 成 员 函 数 的 隐 含 参数 ， 其 他 的 
参数 从 左 至 右 由 1 开始 计数 。LINT 错误 程序 panic () 输 出 的 错误 信息 类 型 如 下 所 示 : 

例子 1: 使 用 未 初始 化 的 LINT 对 象 作 为 参数 。 

由 类 LINT 发 现 的 关键 性 运行 时 错误 : 


变量 0 在 运算 符 *= 中 没有 初始 化 , 行 1997 
非 正 常 终止 


例子 2: 值 为 0 的 LINT 对 象 作 为 除数 。 


由 类 LINT 发 现 的 关键 性 运行 时 错误 : 
除数 为 0 的 除法 ,运算 符 / 函 数 , 行 2000 
非 正 常 终 止 


LINT 类 的 函数 和 运算 符 能 识别 如 表 16-1 所 示 的 情况 。 
R 16-1 LINT 函数 的 错误 代码 


m 
EN ok 二 
E LINT EOF 在 流 运算 符 << 或 >> 中 的 文件 I/O 错误 
E LINT DBZ 除数 为 0 的 除法 
E LINT NHP 堆 错误 : new 返回 NULL 指针 
E LINT OFL 在 函数 或 运算 符 中 上 海 
E LINT UFL FE PR BK BN is RAT P F tet 
E LINT VAL 函数 的 参数 未 初始 化 或 者 为 非法 什 
E LINT_BOR 错误 的 基 作 为 参数 传递 给 构造 函数 
E LINT MOD 在 mexpkm() 中 的 偶数 模 数 
E LINT NPT NULL 指针 作为 参数 传递 
E_LINT_RIN 调用 一 个 未 初始 化 的 伪 随 机 数 产生 器 
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作为 规则 ， 有 必要 使 错误 处 理 适 应 于 特殊 的 需求 。LINT 类 对 此 提供 支持 : LINT 错误 
Mb FH pRB panic() 可 以 被 用 户 定义 的 函数 取代 。 此 外 ， 和 需要 调用 下 面 的 函数 ， 该 函数 接受 
一 个 函数 指针 作为 参数 : 
void 
LINT: :Set LINT Error Handler (void (*Error Handler) 
(LINT ERRORS, const char*, int, int, const, char*)) 
{ 


LINT User Error Handler = Error Handler; 
} 
变量 LINT User Error Handler 在 flintpp.cpp 中 定义 和 初始 化 如 下 
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static void (*LINT User Error Handler) 
(LINT ERRORS, const char*, int, int, const char*) = NULL; 


如 果 指 针 的 值 不 是 NULL， 那 么 可 调用 指定 的 函数 来 代替 panic()， 它 所 包含 的 信息 与 使 
用 panic() 所 得 到 的 相同 。 实 现 用 户 定义 的 错误 处 理 程序 ， 具 有 很 大 的 自由 度 。 但 是 必须 意 
识 到 类 LINT 所 报告 的 错误 通常 表示 程序 错误 ， 而 这 在 程序 运行 期 间 是 不 能 纠正 的 。 而 返回 
到 错误 发 生 的 程序 段 没 有 什么 意义 ， 一 般 在 这 种 情况 下 终止 程序 是 唯一 合理 的 措施 。 

通过 调用 如 下 的 程序 返回 到 LINT 错误 例 程 panic (): 

LINT: :Set LINT Error Handler(NULL); 

下 面 的 例子 说 明 如 何 整合 用 户 定义 的 错误 处 理 孙 数 : 

#include "flintpp.h" 


void my error handler (LINT ERRORS err, const char* func, 
int arg, int line, const char* file) 


{ 
//... Code 


} 
main() 


{ 


// activation of the user-defined error handler: 
LINT: :Set_ LINT Error Handler (my error handler); 
// ... Code 

// reactivate the LINT error handler: 


LINT: :Set LINT Error Handler (NULL); 


// ... Code 
} 


16.3 LINT Re 


C++ 的 异常 机 制 是 一 种 工具 ， 比 C 提供 的 错误 处 理 方 法 更 易于 优化 ， 因 而 更 高 效 。 
前 面 描述 的 错误 处 理 程序 LINT: :panic() 局 限于 错误 信息 的 输出 和 程序 的 受 控 终 止 。 一 般 
地 ， 我 们 对 除数 为 0 的 除法 函数 的 兴趣 小 于 调用 除法 的 函数 出 现 此 类 错误 的 兴趣 ，LINT:: 
panic() 不 包含 的 信息 不 能 确定 因此 不 可 能 传送 。 特 别 地 ， 不 可 能 用 LINT: :panic() 返 回 
到 出 错 函 数 ， 以 便 消 除 那 里 的 错误 或 者 用 特定 的 方式 对 函数 做 出 反应 。 另 一 方面 ，C++ 
的 异常 机 制 提供 了 这 样 的 可 能 性 ， 并 且 这 里 我 们 将 创造 条 件 使 这 种 机 制 可 用 于 LINT 类 。 

C++ 中 的 异常 主要 基于 3 种 类 型 的 构造 : try 块 、catch ik, throw 指令 ，, HUE 
们 ， 函 数 可 以 释放 错误 发 生 的 信号 。 首 先 ，catch 块 包含 一 个 针对 try 块 的 本 地 错误 处 理 
程序 : 发 生 在 try 块 且 通过 throw 报告 的 错误 将 被 紧 跟 try 块 之 后 的 catch 块 捕捉 。 作 
为 伴随 表达 式 参 数 的 throw 指令 的 值 表明 了 错误 类 型 。 

try 块 与 catch 块 之 间 的 联系 可 以 如 下 概述 : 


try 
{ 
. // If an error is signaled within an operation with 
. // throw, then it can be 
. // caught by the following catch block. 
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catch (argument) 


{ 


. // here follows the error handling routine. 
} 
如 果 错 误 不 是 直接 出 现在 try 块 里 ， 而 是 发 生 在 其 中 调用 的 函数 里 ， 则 被 调用 的 函数 


被 终止 ， 并 将 控制 权 返 回 到 调用 函数 ， 直 至 通过 道 序 调用 链 到 达 try 块 里 的 函数 。 控 制 权 
接着 传递 给 适当 的 catch 块 。 如 果 没 有 发 现 try 块 ， 则 调用 由 编码 器 附加 的 通用 错误 程 
序 ， 它 通常 在 非特 定 的 输出 之 后 终止 程序 。 

很 容易 知道 LINT 类 中 的 错误 是 什么 ， 调 用 带 错 误 码 的 throw 即 可 。 通 过 LINT 函数 
和 运算 符 可 将 错误 码 提供 给 panic () 程 序 。 然 而 ， 下 面 的 解决 方案 提供 了 更 多 的 便利 : E 
义 一 个 抽象 基 类 


class LINT Error 
{ 
public: 
char* function, *module; 
int argno, lineno; 
virtual void debug print (void) const = 0; // pure virtual 
virtual “LINT Error() {function = 0; module = 0;}; 
}; 
以 及 建立 在 基 类 之 上 的 如 下 类 型 的 类 
// division by zero 
class LINT DivByZero : public LINT Error 
{ 
public: 
LINT DivByZero (const char* func, int line, const char* file); 
void debug print (void) const; 
}; 
LINT DivByZero::LINT DivByZero (const char* func, int line, const char* file) 


{ 


module = file; 
function = func; 
lineno = line; 


argno = 0; 
} 
void LINT DivByZero::debug print (void) const 
{ 


cerr << “LINT-Exception:” << endl; 

cerr << "division by zero in function " 
<< function << endl; 

cerr << "module: " << module << 


<< lineno << endl; 


, line: 
} 
对 每 一 类 错误 ， 都 存在 这 样 一 个 类 ， 如 同 这 里 所 示 的 例子 一 样 使 用 
throw LINT DivByZero(function, line); 

来 报告 这 一 特定 错误 。 除 了 别 的 以 外 ， 基 类 LINT Error 的 下 列子 类 可 以 定义 为 : 
class LINT Base : public LINT Error // invalid basis 
{ w=. J; 
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class LINT DivByZero : public LINT Error // division by zero 


f whe: Fe 

class LINT EMod : public LINT Error // even modulus for mexpkm 
E oid B 

class LINT File : public LINT Error // error with file 1/0 

TT 

class LINT Heap : public LINT Error // heap error with new 
fom 


class LINT Init : public LINT Error // function argument illegal or uninitialized 
Loan M 
class LINT_Nullptr : public LINT_Error // null pointer passed as argument 


TTE eS 
class LINT_OFL : public LINT Error // overflow in function 
twee Jy 
class LINT UFL : public LINT Error // underflow in function 
iaae JS 


现在 ， 一 方面 ， 我 们 通过 将 catch 块 插入 在 try 块 之 后 可 捕捉 LINT 错误 ， 而 不 区 分 
发 生 了 什么 错误 ; 男 一 方面 ,我 们 能 针对 个 别 错误 实现 有 目标 的 搜索 ， 即 在 catch 指令 中 
指定 适当 的 错误 类 作为 参数 。 


catch (LINT Error const &err) // notice: LINT Error is abstract 


{ 
Ms: 


en 
feo 
} 

应 该 和 注意， 抽象 基 类 LINT Error 无 法 实例 化 为 一 个 对 象 ， 因 此 参数 err 仅 能 作为 指针 
传递 ， 而 不 能 按 值 传递 。 尽 管 所 有 的 LINT 图 数 已 装备 了 用 于 错误 处 理 的 panic () 指 令 , 但 异 
党 处 理 机 制 的 应 用 并 不 意味 着 必须 改变 所 有 的 函数 。 而 是 将 适当 的 throw 指令 融入 panic () 
程序 ， 即 panic() 依 赖 所 报告 的 错误 而 调用 。 随 后 控制 权 转 移 到 catch RE, BK catch 
H ja THAR try E. K% panic() 的 如 下 代码 段 前 明了 程序 运作 过 程 : 

void LINT::panic (LINT ERRORS error, const char* func, 

int arg, int line, const char* file) 
{ 
if (LINT User Error Handler) 
{ 
LINT User Error Handler (error, func, arg, line, file); 
} 
else 
{ 
cerr << "critical run-time error detected by the 
class LINT:\n"; 
switch (error) 
{ 
case E_LINT DBZ: 
cerr << "division by zero, function 
» module 


<< func; 
" << file << endl; 


cerr << ", line 


<< line << 
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#ifdef LINT EX 
throw LINT DivByZero (func, line, file); 


#endif 
break; 


PA sores 


} 

} 

用 户 定义 的 错误 处 理 程序 能 够 完全 控制 导致 出 错 的 行为 ， 而 不 需要 LINT 实现 的 介入 。 
而 且 ， 异 常 处 理 功能 可 以 完全 关闭 ， 这 在 C++ 编译 器 不 支持 这 种 机 制 的 情况 下 是 十 分 必要 
的 。 现 在 的 函数 panic () 总 是 通过 定义 宏 LINT EX 来 显 式 打开 异常 处 理 功 能 ， 就 像 借助 编译 
ATEI- DLINT EX 一样。 一 些 编译 瞬 需 要 指定 额外 的 选项 来 激活 异常 处 理 功能 。 

最 后 ， 我 们 给 出 LINT 异常 处 理 的 一 个 小 范例 : 

#include "flintpp.h" 

main(void) 

{ 

LINT a= 1; b= 0; 
try 
{ 
b = a / b;// error: division by 0 
} 
catch (LINT DivByZero error) // error handling for division by 0 
{ 
error.debug print (); 
cerr << “division by zero in the module" << _ FILE _ 
<<", line * << LINE ; 
} 
} 
使 用 GNU gcc 编译 ， 可 调用 
gcc -fhandle-exceptions -DLINT EX divex.cpp flintpp.cpp flint.c -lstdc++ 
程序 除了 产生 函数 panic() 的 错误 信息 之 外 ， 还 产生 如 下 输出 : 
LINT-Exception: 
division by zero in operator/function / 
module: flintpp.cpp, line: 402 
division by zero in module divex.cpp, line 17 
这 与 不 市 异常 的 标准 错误 处 理 显著 不 同 的 是 ， 通 过 catch 程序 可 发 现 到 底 是 什么 地 方 
产生 了 错误 ， 即 在 模块 divex.cpp 的 第 17 行 ， 甚 至 在 模块 flintpp. cpp 完全 不 同 的 地 


方 。 对 于 大 程序 的 调试 ， 这 是 一 种 相当 有 用 的 信息 源 。 
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下 一 个 闪 题 是 容易 想到 的 ，“ 这 能 用 普通 的 加 赛 技术 来 做 喝 ? 我 们 能 产生 一 
个 安全 的 加 赛 人 信息， 该 信息 不 需要 预先 斧 换 密 铀 就 能 被 授权 的 接收 方 解 读 喝 ?” 
sesez 1970 年 我 发 表 了 这 个 存在 性 定理 。 
—— J. H. Ellis, K The Story of Non-Secret Encryption) 


已 经 快 接近 整 本 书 的 尾声 了 ， 经 过 对 之 前 每 章 知 识 的 努力 学 习 ， 对 每 个 现实 例子 的 认 
真 分 析 ， 我 们 应 该 具备 了 一 定 的 能 力 来 证 明 密 码 学 应 用 理论 与 我 们 编程 函数 之 间 的 联系 。 
我 们 可 以 简单 地 了 人 解 一 下 非 对 称 密码 的 原理 ， 然 后 将 注意 力 集中 在 一 个 经 典 的 非 对 称 密码 
体制 RSA 算法 上 ， 这 个 算法 由 其 发 现 者 Ronald Rivest, Adi Shamir 和 Leonard Adleman 
在 1978 年 发 表 ( 参 见 LRive]、[LEIlli])， 现 在 已 经 被 广泛 应 用 。RSA 算法 在 美国 被 授予 专 
利 ， 但 该 专利 在 2000 年 9 H 20 日 到 期 。 对 RSA 算法 的 自由 使 用 需要 遵循 RSA 安全 公司 
的 声明 ， 该 公司 拥有 “RSA” 的 商标 权 ， 这 引起 了 与 标准 P1363 LIEEEj 相 关 工 作 的 激烈 
争论 ， 还 引起 了 一 些 很 奇怪 的 结果 ， 比 如 ,将 RSA 算法 改名 为 “ 双 素 数 密 码 ” 的 建议 。 
同时 也 出 现 了 一 些 影 响 稍 小 的 更 名 建议 ， 比 如 FRA( 以 前 的 RSA 算法 )、RALCRon，Adi， 
Leonard) 和 QRZ(RSA-1)。 对 于 其 专利 到 期 ，RSA 安全 公司 表达 了 它 的 意愿 : 

很 明显 ， 术 语 “RSA 算法 ”“RSA DARK”, “RSA 密码 体制 ”和 “RSA 公 

钥 密 码 体 制 ” 已 经 在 标准 和 学 术 方 面 深 入 人 心 。RSA 安全 公司 不 会 阻止 实现 RSA 

算法 的 个 人 或 组 织 使 用 这 些 术 语 (“RSA 安全 公司 + Fil He”, 2000 +9 AY®, 


17. 1 非 对 称 密码 体制 


非 对 称 密码 体制 的 基本 思想 由 Whitfield Diffie 和 Martin Hellman 于 1976 年 发 表 在 开 
创 性 文章 “New Directions in Cryptography” 中 ( 见 LDiffj)。 非 对 称 密码 体制 与 对 称 密 码 
体制 相反 ， 不 是 使 用 一 个 密 钥 同时 用 于 加 密 和 解密 消息 ， 而 是 使 用 一 对 密 钥 ， 其 中 使 用 公 
钥 E 加 密 消息 ， 使 用 一 个 不 同 的 私 钥 D 解密 消息 。 如 果 密 钥 对 相继 用 于 一 个 消息 M， 则 
必须 遵循 下 列 等 式 : 





D(E(M)) = M (Yl 
可 以 把 这 一 过 程 想象 成 一 把 锁 ， 用 一 把 钥匙 上 锁 ， 用 刀 一 把 钥匙 解锁 。 
为 了 保证 这 一 过 程 的 安全 性 ， 私 钥 D 必须 不 能 由 公 钥 下 导出 ， 或 者 这 样 的 导出 在 时 
间或 者 费用 的 限制 下 是 不 可 行 的 。 
与 对 称 系统 不 同 ， 非 对 称 系统 使 得 密 钥 分 配 得 到 一 定 简 化 ， 因 为 只 需要 将 参与 者 A 的 
公 钥 发 送 给 通信 方 B， 后 者 利用 A 的 公 钥 加 密 一 个 信息 ， 得 到 的 密 文 只 有 私 钥 拥有 者 A 
才能 解密 。 这 一 原则 对 通信 公开 性 具有 决定 性 的 贡献 : 对 于 想 进行 保密 通信 的 通信 双方 ， 
他 们 只 需要 具有 一 个 非 对 称 加 密 方 法 ， 并且 具 有 可 以 交换 公 钥 的 能 力 。 其 中 ， 私 钥 是 不 用 


© 根据 http://www. rsasecurity. com 所 述 ， 截 至 1999 年 ,已 经 有 超过 3 亿 个 包含 RSA 功能 的 产品 被 出 售 。 


© http://www. rsasecurity. com/solutions/developers/total-solution/faq. html 
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传输 的 。 然 而 ， 应 该 注意 ， 即 使 对 于 非 对 称 密码 体制 ， 我 们 也 不 能 避免 某 种 形式 的 密 钥 管 
理 。 作 为 安全 通信 的 一 方 ， 必 须 保 证 通信 另 一 方 的 公 钥 是 真实 的 ， 这 样 攻击 者 无 法 在 通信 
双方 之 间 分 发 自己 的 公 钥 来 伪装 成 可 信 的 通信 方 ， 因 此 无 法 达到 和 究 听 秘密 信息 的 邪恶 目 
的 。 有 一 些 复 杂 的 方法 可 以 保证 公 钥 的 真实 性 ， 实 际 上 ， 政 府 也 已 经 出 台 了 相关 法 律 来 保 
证 ， 我 们 将 在 之 后 讨论 更 多 的 细节 。 

韭 对 称 密码 体制 理论 衍生 出 一 些 更 为 深远 的 产物 : 它 是 数字 签名 产生 的 基本 理论 ， 数 
字 签 名 将 非 对 称 传统 加 密 算法 颠倒 过 来 ， 用 私 铀 “加 密 ” 消 息 ， 产 生 数 字 签 名 ， 然 后 将 消 
息 与 签名 组 合 在 一 起 进行 传输 。 这 样 一 来 ， 任 何 知 道 相 应 公 钥 的 人 都 可 以 “解密 ”被 “加 
密 ” 的 消息 ， 并 将 结果 与 原始 消息 进行 比较 。 只 有 私 钥 的 拥有 者 用 此 方法 发 出 的 消息 才能 
被 对 比 无 误 。 我 们 必须 注意 ， 在 数字 签名 中 ， 术 语 “ 加 密 ” 和 “解密 ”的 表述 并 不 是 很 准 
确 ， 所 以 我 们 用 数字 签名 的 “生成 ”和 “验证 ”来 蔡 代 。 

非 对 称 密码 体系 可 以 生成 数字 签名 的 条 件 是 DCM) ALM 的 联系 可 以 被 可 靠 地 验证 。 这 
种 验证 在 加 密 算 法 和 解密 算法 可 交换 的 情况 下 是 可 能 存在 的 ， 即 如 果 两 个 算法 相继 执行 ， 
不 管 其 执行 顺序 如 何 ， 其 结果 都 是 原来 相同 的 结果 : 

D(E(M)) = E(D(M)) = M (17-2) 
通过 将 公 和 钥 下 应 用 于 D(CM)， 可 以 验证 DUM) 是 不 是 应 用 于 消息 M 的 有 效 数 字 签 名 。 

从 两 个 方面 可 以 看 到 数字 签名 原理 的 重要 性 : 

© 欧洲 及 美国 的 数字 与 电子 签名 法 为 未 来 在 合法 交易 中 使 用 数字 签名 奠定 了 法 律 基础 。 

o 因特网 电子 商务 应 用 的 持续 性 增长 ， 产 生 了 对 识别 和 认证 电子 商务 参与 者 的 数字 签 

名 、 认 证 数字 信息 的 数字 签名 ， 以 及 保证 金融 交易 安全 的 数字 签名 的 巨大 需求 。 

有 趣 的 是 ， 术 语 “ 电 子 签 名 ”和 “数字 签名 ”引起 我 们 关注 签名 法 律 中 的 两 个 不 同 的 
技术 : 对 于 电子 签名 ， 有 很 多 认证 方法 ， 如 电子 字符 、 字 母 、 符 号 ， 图 像 ， 都 可 以 用 于 一 
方 来 认证 一 个 文档 。 另 一 方面 ， 对 于 数字 签名 ， 可 以 把 它 当 作 一 个 基于 信息 技术 过 程 的 电 
子 签名 过 程 ， 这 个 信息 技术 过 程 可 以 验证 传输 文本 的 完整 性 和 真实 性 。 困 惑 的 原因 主要 是 
两 个 术语 经 党 被 交替 使 用 ， 导 致 对 于 两 种 不 同 技术 手段 的 混 消 (例如 ， 见 LMied]) 。 

总 体 上 ， 电 子 签名 的 法 律 对 使 用 什么 算法 实现 数字 签名 是 没有 限制 的 ， 大 多 数 正 在 被 
讨论 或 已 经 实现 的 用 于 鉴别 、 认 证 及 授权 的 因特网 电子 商务 协议 是 基于 RSA 算法 的 ， 这 
意味 着 RSA 算法 将 继续 控制 这 一 领域 。 因 此 ， 通 过 RSA 算法 产生 数字 签名 是 FLINT/C 
图 数 应 用 的 一 个 极 具 现实 意义 的 实例 。 

下 面 是 作者 对 一 条 极其 重要 的 密码 学 原理 的 简单 介绍 。 同 时 ， 大 量 关于 这 一 话题 的 出 
版 物证 明 这 样 人 简洁 是 有 道理 的 。 对 于 想 了 解 更 多 内 容 的 读者 ,LBeut]、[Fumyj]、[ Salo] 
和 [LStinj 可 以 作为 人 门 读物 ，LMOYV jj] 和 LSchn] 可 作为 进 阶 读物 ， 而 LKobl]、[ Kran] 和 
LHKWJ 适 合 于 热衷 于 知道 数学 原理 的 读者 。 


17.2 RSA 算法 
可 能 发 生 的 事情 也 许 是 假 的 事情 。 


— Rene Descartes 


我 们 将 简单 介绍 RSA 算法 的 数学 性 质 ， 以 及 RSA 算法 的 两 种 实现 方式 ， 即 非 对 称 加 
密 体 制 和 非 对 称 签名 方法 。 在 介绍 RSA 算法 原理 之 后 ， 我 们 开发 了 一 些 C++ HK, EME 
现 了 RSA 加 密 和 解密 函数 以 及 数字 签名 的 生成 和 验证 函数 。 按 照 这 种 方式 ， 我 们 将 阐明 
LINT 类 对 实现 上 述 功能 的 可 行 性 。 
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RSA 算法 最 重要 的 方面 在 于 密 钥 对 ， 它 们 是 一 种 特殊 的 数字 形式 : 一 对 RSA 密 钥 对 
包含 3 个 基本 元 素 : 模 数 n、 公 和 钥 元 素 e( 加 密 )、 私 钥 元 素 4( 解 密 )。 数 对 4e，n) 和 《4d，n) 
分 别 构 成 公 钥 和 私 钥 。 

我 们 首先 来 看 模 数 n 是 怎么 产生 的 ; 有 两 个 大 素数 p 和 g, n=pq. & gz) 一 (六 一 1) 
(g 一 1)， 代 表 一 个 Euler 函数 ， 那 么 由 给 定 的 2 上 ， 可 选取 公 钥 元 素 e， 使 得 e<l) H ged 
Ce, $Cn))=1, 5 n 和 e 对 应 的 私 钥 元 素 @&， 可 通过 计算 逆 d=e ' mod $(n) 得 到 (参见 
Lo, 2 WI 

我 们 举 一 个 简单 的 例子 来 说 明 : 选择 p=, q=11, MARMA UGE n=77, $n) = 
2 。3。5 王 60。 根 据 条 件 gcd(e，#(n)) 二 1， 公 和 钥 元 素 e 的 最 小 的 可 能 值 是 7， 由 7。43 三 
301=1 mod 60， 可 以 计算 私 钥 元 素 d 的 值 ，d= 二 43。 有 了 这 些 值 ， 我 们 可 以 将 RSA 算法 
应 用 到 一 个 简单 的 例子 中 ,“ 消 息 ”5 加 密 过 程 为 5 mod 77 二 47， 解 密 过 程 为 47”mod 77=5, 
由 此 恢复 了 原来 的 消息 。 

现在 ， 有 了 这 些 密 钥 (我 们 将 在 之 后 讨论 不 同 密 钥 元 素 的 实际 大 小 ) 和 相应 的 软件 ， 通 
信 双 方 可 以 安全 地 彼此 交换 信息 。 为 了 证 明 这 一 方法 的 安全 性 ， 我 们 来 看 看 这 个 例子 ， 参 
与 者 A 发 送 一 个 经 由 RSA 加 密 后 的 信息 给 通信 方 B: 

1) 也 生成 上 自己 的 RSA 密 钥 元 素 ngs ds、 ego 他 将 自己 的 公 钥 二 es， ns 二 发 送 给 A. 

2) 现在 A 和布 望 将 一 条 机 密 的 消息 M 发 送 给 BOO<M<m,). 4 A KF B 的 公 和 钥 过 es， 
ng 之 后， A 计算 

C = M“ mod ng 
将 加 密 信息 C 发 送 给 B。 
3) 当 B 收 到 A 发 送 来 的 加 密 信息 C 后 ，B 通过 使 用 私 钥 二 ds，ns 二 计算 
C = M* mod ng 
解密 这 个 消息 。 现 在 ，B 获得 了 这 个 消息 的 明文 M。 

和 弄 明 白 这 一 过 程 如 何 运 作 并 不 难 。 因 为 dg. e=1 mod O(n), ， 所 以 存在 一 个 整数 & 使 得 
d，e 夺 1 十 k，@B(n)。 因 此 可 以 得 到 : 

Ct = M* = Me™ = M « (M®™ )* = M mod n (17-3) 
这 里 我 们 用 到 了 第 10 章 所 述 的 Euler 理论 ， 根 据 它 我 们 可 以 推出 : 如 果 gcd(M, n)=1, 
那么 M? "三 1 mod 2。 更 加 有 趣 的 情况 是 ， 当 gced(M, n)>1 时 ， 式 (17-3) 依 然 成 立 : 对 
于 互 素 的 pP 和 gq， 有 同 构 Z 二 Z,XZ,。 由 于 ve=1 mod gecd(p—1, q—1), MAEZ, A 
Z, 中 ， 有 M“ 一 M( 显 然 M=0), “4PRth FEE FZ, Y. 

产生 密 钥 的 另 一 种 方法 是 使 用 通用 指数 1 :二 lem(p 一 1，g 一 1) 替 换 B(n)。 使 用 这 种 方 
法 需要 以 Carmichael 定理 为 基础 : HAO K Carmichael RR, 定义 A(n) :==1cm(A(2% ), 
Cpu), e, Pp? )), 其 中 n=2° PC pi OC pr), pi 表示 不 同 的 素数 ， 且 

a Pee Sy 
Pe es 

那么 对 于 所 有 的 aEZ}, Aa” =1 mod n。 相 关 证 明 见 [LKran|] 的 第 15 页 。 如 上 所 
述 ， 这 一 过 程 可 以 扩展 到 ged(M, n)=1 的 情形 ， 因 为 由 ev 二 1 十 kA(n)， 有 ve=1 mod 
gcd(p 一 1，g 一 1)， 所 以 在 Z, 和 2Z, 中 ， 有 M”* 一 M。 由 于 同 构 Z 二 Z, XZ,， 所 以 恒等式 在 ZZ， 
中 也 成 立 。 使 用 4 的 优点 体现 在 可 以 使 用 更 小 的 公 钥 元 素 e， 因 为 4 总 是 (p 一 1，g 一 1) 的 
因子 。 实 际 上 ， 这 点 优势 是 微不足道 的 ， 因 为 对 于 随机 值 p Allg 来 说 ，gcd(p 一 1，g 一 1) 
有 和 较 高 的 概率 比较 小 。 


A(2') :一 
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很 明显 ，RSA 算法 的 安全 性 取决 于 对 手 分 解 大 数 n 的 能 力 。 如 果 能 被 分 解 为 它 的 两 
个 因子 p Ala, BAA d 就 可 以 根据 公 钥 e 确定 。 反 之 ， 如 果 两 个 密 钥 元 素 & fle 都 已 
知 ， 那 么 对 于 的 分 解 也 可 以 很 容易 地 完成 : 车 让: 二 de 一 1， 那 么 是 @(n) 的 一 个 倍数 ， 
因此 有 有 =r*，2， 其 中 rr 为 奇数 ， 且 t 宇 1。 对 于 每 个 g€2,， 有 g 三 g” 三 gg =l mod n, 
因此 g 是 1 模 n 的 一 个 平方 根 ， 共 有 4 个 平方 根 : RT 1h, BAr, P zx 三 1 
mod p K «=—1 mod p。 故 有 p(x 一 1) 和 g|(x 一 1) (参见 10. 4. 3 节 )。 通 过 计算 p=ecd 
(ZX 一 1]，n) 可 以 得 到 的 分 解 。 

不 使 用 模 数 分 解 来 攻击 RSA 算法 的 成 功率 与 上 述 开 销 相 同 : 依赖 实现 RSA 密码 体制 
的 单个 协议 的 某 个 特殊 的 漏洞 ， 而 不 是 依赖 RSA 算法 本 身 。 根 据 目 前 所 掌握 的 知识 状况 ， 

下 列 因素 为 攻击 RSA 算法 提供 了 条 件 : 

1. 公共 模 数 

多 个 参与 者 使 用 一 个 公共 模 数 有 一 个 明显 的 弱点 : 如 上 所 述 ， 参 与 者 可 以 用 自己 的 密 
HIR e Md NAHISI n= pq. BAWAT pAg, ARH AIE HARR S 
公 钥 ， 就 可 以 求 出 他 们 的 私 钥 。 

2. 小 公 指 数 

由 于 RSA 算法 计算 模 数 n 的 时 间 直 接 取 决 于 指数 e Ald 的 大 小 ， 所 以 选择 尽量 小 的 d 
和 e 似乎 更 有 吸引 力 。 如 例 3， 计算 最 小 可 能 的 指数 ， 只 需 进 行 一 次 模 n 的 平方 和 和 一 
模 的 乘法 ， 为 什么 不 使 用 这 种 方式 来 节约 宝贵 的 计算 时 间 呢 ? 

我 们 假设 一 个 攻击 者 可 以 获得 3 个 密 文 CL. Cl 和 Cs: ， 它 们 都 是 使 用 3 个 不 同 的 接收 
者 密 钥 二 3 ， 思 过 加 密 得 到 的 : 

Ci = M? mod n, = M?’ mod nz, = M? mod n; 
很 可 能 有 gcd(n;, njJ=1, Hp an eee tft 第 10 章 ) 求 
得 值 C， 
C = M? mod nmn; 

由 于 M’<nmn, MURRE C 和 Ms 相等 ， 攻 击 者 可 以 通过 计算 VC 得 到 M。 这 种 攻击 
称 为 广播 攻击 ， 当 密 文 C; 的 位 数 大 于 公 钥 指数 时 可 进行 ， 这 甚至 对 不 同 但 线性 相关 的 明 
文 加 密 也 成 立 ， 即 M; 二 a 十 6， Mj 成 立 ( 参 见 LBonej) 。 为 了 避免 这 种 攻击 ， 必 须 选 择 不 太 
小 的 公 钥 指数 (尽量 不 小 于 2 十 1=65537)， 并 且 在 加 密 前 在 广播 消息 中 加 入 一 些 元 余 值 。 
这 可 以 通过 某 种 方法 在 消息 中 加 入 小 于 模 数 的 适当 值 来 实现 。 这 一 过 程 称 为 填充 (参见 
17. 3 节 和 | Schn | 的 9.1 节 )。 

3. 小 的 私 钥 指数 和 小 的 P 和 9 之 间 的 差 值 

小 的 私 钥 指数 比 小 的 公 钥 指数 更 易 被 攻击 : M. Wiener( 人 参见 [Wien]) 在 1990 年 证 明 ， 
给 定 一 个 密 钥 二 e,， nn 二 ， 且 e<<%(2) ， 若 对 应 的 私 钥 指数 & 太 小 ， 则 d 可 以 被 计算 出 来 。 
Wiener 的 结论 被 D. Boneh 和 G. Durfee( 人 参见 | Bone ||) 强化， 他们 证 明 ， 如 果 d<n’’”’, Wl 
d 可 以 由 二 ee， 二 求 出 。 这 一 结论 被 猜想 在 d 二 n”“ 时 也 成 立 。 

容易 理解 ， 当 pq 和 Yn 时 ， 模 数 n 是 容易 被 分 解 的 ， 这 可 以 通过 nn 除 以 Vn 附近 的 奇 
数 得 到 。 当 p 与 g 的 差 小 于 n“ 时 同样 危险 ， 因 为 可 以 使 用 Fermat 因 式 分 解法 进行 分 解 : 
FAF n, RIAR zr, y, Mer, yE{n—-1, nt+1}, H4n—2’?—y’, MRX, n 


AFA Cty AS (ey). WAHA = 2Va], [2/m1+1, [2/7]+2, =, AB 
x? — in 为 一 个 平方 数 (可 借助 函数 issar 1 确定 )， 来 找到 x 和 y 的 值 。 该 因 式 分 解 方法 
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的 开销 为 O((p 一 gq)?/Vn)， 当 |p 一 9| 二 ca“*， 且 常数 cn“ 时， 上 述 过 程 是 容易 实现 的 。 
B. de Weger 的 一 项 工作 扩展 了 由 Wiener, Boneh 和 Durfee 证 实 可 行 的 攻击 ， 证 明了 
安全 性 与 私 钥 和 素数 因子 的 差 1p 一 g| 之 间 的 关系 : 设 |p 一 q|= 二 ns, d=n’, 4 2—4B<6< 


i>, 28-5 aH 6 一 起 (48 十 5) 一 二 V(4B 十 5)(48 一 1) 时 , 模 n 二 pg 可 以 被 有 效 分 解 ( 参 
W| deWe |). 
de Weger 对 上 述 结果 做 出 推论 ， 建 议 对 于 p、g Ald 的 选择 要 满足 公式 8 十 28> 二 。 


当 5 宇 亏 时， 按照 之 前 所 述 的 结果 ， 必 须 选 择 8 大 于 与 才能 符合 上 述 建议 。 


该 要 求 在 别处 也 有 提 及 ，p、g 应 满足 0. 5<| log, p—log.g| <30(4 WL _LEESSI]). 

4. 短 明 文 的 加 密 

Boneh, Joux 和 Nguyen 提出 一 种 特别 有 效 的 方法 ， 对 于 公 钥 二 e，n 二 ， 从 密 文 C= 
M 中 提取 明文 M 委 2"。 与 之 对 应 的 必要 时 间 为 2。2” 次 模 震 运算 。 同 时 ， 需 要 2”? m 位 
的 存储 开销 (参见 LBon2j) 。 因 此 ， 使 用 不 添加 任何 元 余 的 小 于 128 位 的 对 称 密 钥 的 RSA 
加 密 被 认为 是 不 安全 的 ( 见 下 节 ) 。 

5. 实现 的 缺陷 

除了 由 于 参数 选择 所 引起 的 弱点 外 ， 许 多 实现 中 存在 的 一 些 潜在 的 问题 都 对 RSA 算 
法 (同样 适用 于 其 他 加 密 算法 ) 的 安全 性 起 了 负面 影响 。 当 然 ， 我们 应 该 更 关心 软件 的 实 
现 ， 它 不 能 防御 硬件 测量 的 外 部 攻击 。 读 取 内 存 内 容 、 观 察 总 线 活动 或 者 CPU 状态 都 可 
能 导致 密 钥 信息 泄露 。 至 少 ， 主 存 中 所 有 与 RSA 算法 的 私 钥 元 素 ( 或 者 其 他 密码 算法 ) 相 
关 的 信息 都 应 该 在 使 用 后 立即 被 擦 除 ( 例 如 第 9 章 提 到 的 函数 purge 1()). 

为 此 ，FINT/C 库 中 已 经 配置 了 相应 的 函数 。 在 安全 模式 下 ， 局 部 变量 和 已 分 配 的 内 
存在 函数 终止 前 都 用 0 重 写 ， 以 此 删除 相关 信息 。 这 里 需要 注意 ， 因 为 编码 器 的 优化 能 力 
很 强 ， 所 以 在 函数 结尾 用 一 个 简单 的 指令 终止 函数 有 可 能 会 被 编译 器 忽略 。 并 且 ， 必 须 注 
意 对 于 C tr ve Sa EP AY eA BE memset () 的 调用 ， 当 编译 器 不 能 辨认 该 函数 的 调用 目的 时 ， 
将 忽略 这 个 函数 。 

以 下 例子 阐明 了 上 述 意 思 。 子 数 f 1 () 使 用 两 个 自动 变量 : CLINT key 1 和 USHORT 
secret。 在 图 数 的 结尾 ， 它 们 不 再 起 作用 ， 所 以 内 存 需 要 分 别 对 secret IWE 0, Xf key 1 
Val FA PRX memset () 来 重 写 。C 代码 如 下 所 示 : 

int 

f 1 (CLINT n 1) 

{ 


CLINT key_l; 
USHORT secret; 


/* overwrite the variables */ 
secret = 0; 
memset (key 1, 0, sizeof (key _1)); 
return 0; 
} 
那么 ， 编 译 器 将 会 得 到 什么 结果 呢 (Microsoft Visual C/C++ 6.0, J cl-c-FAs-02 编 


译 )? 
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PUBLIC 等 
; COMDAT _ f 
_TEXT SEGMENT 
_ key _1$ = -516 
_ secret $ = -520 
f PROC NEAR ; COMDAT 
3 5 : CLINT key 1; 
: 6 s USHORT secret; 
; 18 j /* overwrite the variables */ 
s 19 : secret = 0; 
= 26 memset (key 1, 0, sizeof (key 1)); 
> 21 : return 0; 
xor eax, eax 
$22: I 
add esp, 532 ; 00000214H 
ret 0 
Be: i ENDP 
_TEXT ENDS 


这 段 汇 编 代 码 由 编译 器 产生 ， 其 中 删除 变量 key 1 和 secret 的 指令 最 终 无 效 。 从 优 
化 的 角度 看 ， 这 似乎 是 合理 的 。 其 至 函数 memset () 的 内 联 (inline) 版 本 也 被 简单 地 优化 掉 
了 。 然 而 ， 从 安全 应 用 方面 考虑 ， 这 一 策略 简直 太 “ 明 智 ” 了 ，。 

通过 重 写 来 主动 删除 与 安全 相关 的 变量 必须 要 保证 这 一 过 程 能 确实 实现 。 应 该 注意 在 
此 情况 下 断言 可 以 阻止 对 于 上 述 有 效 性 的 检验 ， 因 为 断言 会 强制 编译 器 执行 这 段 代 码 。 当 
断言 被 关 掉 时 ， 优 化 才能 继续 起 作用 。 

对 此 ，FINT/C 库 实 现 了 下 列 函 数 ， 它 接受 参数 的 变化 数值 ， 依 据 规模 ， 将 标准 整 型 
值 设 置 为 0， 或 者 对 于 其 他 数据 结构 调用 函数 memset () 来 进行 重 写 : 


static void purgevars_1 (int noofvars, ...) 


{ 
va_list ap; 
size t size; 
va start (ap, noofvars); 
for (; noofvars > 0; -noofvars) 


{ 
Switch (size = va_arg (ap, size t)) 
{ 
case 1: *va_arg (ap, char *) = 0; 
break; 
case 2: *va_ arg (ap, short *) = 0; 
break; 
case 4: *va_arg (ap, long *) = 0; 
break; 
default: memset (va_arg(ap, char *), 0, size); 
} 
} 


va_end (ap); 


} 
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该 函数 将 元 组 (变量 的 字 节 长 度 ， 指 向 变量 的 指针 ) 作 为 变量 ， 并 在 noofvars 前 加 上 
这 种 元 组 前 绥 。 

这 个 函数 的 扩展 宏 PURGEVARS 工 () 定 义 如 下 : 

#ifdef FLINT SECURE 

#define PURGEVARS L(X) purgevars 1 X 

#else 

#define PURGEVARS_L(X) (void)0 

#endif /* FLINT_SECURE */ 


因此 可 以 根据 需要 来 开启 或 关闭 安全 模式 。 在 £() 中 删 去 一 个 变量 ， 如 下 所 示 : 


/* overwrite the variables */ 
PURGEVARS L ((2, sizeof (secret), & secret, 
sizeof (key 1), key _1)); 
AS De OG He eS DEM. in PE A AS FE ZB A TK eR A Va A, Re BE. A CE PP A 
效 的 全 局 最 优化 下 完成 。 不 管 怎 样 ， 这 种 安全 手段 的 效果 应 该 根据 代码 审查 来 检验 : 


PUBLIC f 
EXTRN _purgevars 1:NEAR 
> COMDAT f 
_TEXT SEGMENT 
_key 1$ = -516 
_secret$ = -520 
i? PROC NEAR ; COMDAT 
i924 
sub esp, 520 ; 00000208H 
; 10 : CLINT key_1; 
: 12 : USHORT secret; 
4 18 : /* overwrite the variables */ 
>; 19 : PURGEVARS L ((2, sizeof (secret), &secret, 


sizeof (key 1), key 1)); 
lea eax, DWORD PTR key 1$[esp+532] 


push eax 
lea ecx, DWORD PTR _secret$[esp+536 | 
push 514 ; 00000202H 
push ecx 
push 2 
push 2 
call _purgevars 1 
3 20 > return 0; 
XOY eax, eax 
3 21 } 
add esp, 552 ; 00000228H 
ret 0 
Bi; ENDP 
_TEXT ENDS 


我 们 应 该 注意 一 种 更 全 面 的 错误 处 理 手 段 ， 它 可 以 在 出 现 无 效 参 数 或 者 其 他 意外 的 情 
况 下 不 泄露 敏感 信息 ， 可 以 将 它 作为 与 安全 应 用 相关 的 进一步 保护 措施 。 同 样 ， 应 该 考虑 
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建立 密码 应 用 程序 代码 认证 方法 ， 以 防 木马 程序 的 插入 ， 或 者 至 少 能 在 代码 执行 前 进行 检 
测 。 取 自 特 洛 伊 战 争 的 传说 ， 特 洛 伊 木 马 是 一 种 恶意 软件 ， 它 表面 上 正常 工作 ， 但 实际 上 
具有 一 些 恶 意 的 功能 ， 如 通过 因特网 将 本 地 的 私 钥 信息 传输 给 攻击 者 。 

为 了 应 付 这 个 问题 ， 实 际 在 进行 密码 运算 时 ,通常 加 入 所 谓 的 “安全 盒 ” 或 “S 盒 ”， 
其 硬件 被 保护 从 而 避免 在 连接 时 受 探测 器 或 传感器 探测 的 攻击 。 

如 果 能 避免 上 述 所 有 的 缺陷 ， 剩 下 仅 有 的 风险 就 是 模 数 被 分 解 了 ， 但 这 一 风险 可 以 通 
过 选择 尽量 大 的 素数 而 化 解 。 当 然 ， 是 否 还 有 比 大 数 分 解 更 简单 的 方法 攻克 RSA 算法 并 
没有 得 到 证 明 ， 同 样 ， 也 没有 证 明 大 数 分 解 到 底 是 否 如 它 看 起 来 那样 困难 ， 但 这 些 对 现在 
的 算法 应 用 并 没有 很 大 的 负面 影响 : RSA 算法 是 目前 世界 上 最 常用 的 非 对 称 密码 体制 ， 
同时 它 在 产生 数字 签名 方面 的 应 用 也 在 持续 增加 。 

许多 文献 都 有 强调 用 所 谓 的 强 素数 户 和 9 来 抵御 一 些 简 单 的 大 数 分 解 方法 。 一 个 素数 
PRE BAR, WR: 

l) p-1#A—TADRAT r. 

2) p+1A—-T+KWREAF s 

3) 7 一 1 有 一 个 大 的 素 因 子 如 

大 素数 对 于 RSA 算法 安全 性 的 重要 性 并 非 需要 处 处 强调 。 最 近 ， 越 来 越 多 的 意见 强 
调 使 用 强 素数 无 害 ， 但 也 没有 太 大 的 作用 (参见 LMOV ]8. 2.3 节 ， 注 释 8.8， 以 及 LRegTj 
的 附录 1. 4) 或 者 并 不 需要 使 用 (参见 [Schn]11.5 节 )。 因 此 在 下 面 的 程序 例子 中 ， 我们 并 
没有 产生 强 素 数 。 对 于 那些 有 兴趣 的 读者 ， 我 们 给 出 了 构造 这 种 素数 的 过 程 : 


1) 构造 二 进 制 位 数 为 /, 的 强 素数 p 的 第 一 步 是 寻找 满足 logs (s) Slog, (TL, — 


logd, 的 素数 s 和 +t。 然后 寻找 素数 +， 满足 7 一 1 能 被 1 整除， 方法 是 按 顺序 检验 形式 为 
r=k » 2iT1, k=l; 2, … 的 数 ， 直到 遇 到 一 个 素数 。 该 过 程 在 最 多 [ 2ln2t | 步 内 肯定 会 发 
生 ( 参 见 LHKWj 第 418 W). 

2) 我 们 现在 借助 中 国 剩余 定理 (参见 第 10 章 ) 计 算 同 余 方程 组 r=1 mod r 和 zx 二 一 1 
mod s 的 结果 ， 方 法 是 置 zu := 二 1 一 2r 's mod rs， 其 中 盖 :是 > 模 s HREM, 

3) 我 们 使 用 一 个 奇数 初始 值 来 寻找 素数 : 生成 一 个 随机 数 >， 其 位 数 接近 但 小 于 (有 时 
HST) AAAH p 的 长 度 ， 并 设置 zo 一 zo 十 z 十 rs 一 (z modrs), WR z 是 偶数 ， 则 设 
E toto trs AS xo。， 就 可 以 开始 确定 p 的 值 了 。 检 验 p= 二 zo 十 &，2rs,， k= 二 0，1，…， 直 
到 达到 对 p 所 要 的 位 数 1, ， 且 p 为 素数 。 如 果 一 个 RSA 密 钥 包含 一 个 特定 的 公 和 钥 元 素 e， 那 
么 需要 保证 附加 条 件 gcd(p 一 1， 放 = 二 1 Mw. 应 该 满足 以 上 所 有 条 件 。 对 于 率 数 的 检验 ， 
我 们 使 用 Miller-Rabin 检验 方法 ， 它 在 函数 prime L() 中 得 以 实现 。 

无 论 密 钥 是 否 使 用 强 素数 ， 实 际 上 任何 情况 都 需要 一 个 ， 它 能 产生 指定 长 度 或 者 指定 
区 间 的 素数 的 函数 。 产 生 一 个 素数 p, EIA ecd(p—1, fO=1, HH f 为 一 特 
定 值 ， 这 一 过 程 在 LIEEE 第 73 页 中 给 出 。 这 里 的 算法 在 原 有 形式 上 稍 做 改动 。 


产生 满足 Pin S PSP KM p 的 算法 
1) 产生 一 个 随机 数 P, HR Prin <PKPimax o 
2) 若 p 为 偶数 ， 则 设置 ppl, 


3) E ppsas 则 设置 bpas tp mod( pax tl), #HAFR 2. 
4) 计算 dt:=gced(p—1, PAAR 10.1 #¥). #d=1, BK 思 的 素数 性 (参见 10.5 
节 )。 著 妨 是 素数 ， 输 出 p， 然 后 结束 算法 。 否 则 ， 置 p<-p 十 2， 转 到 步骤 3。 
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该 过 程 在 FINT/C 包 ( 源 文件 flintpp. cpp) 的 一 个 C++ 图 数 中 实现 。 


: 在 [pwin，pmax 内 产生 一 个 素数 p， 其 满足 附加 条 件 gcd(p—1, f)=1, # 
中 是 一 个 正 的 奇 素数 
LINT 


findprime (const LINT& pmin, 


const LINT& pmax,const LINT& f); 
: pmin: 最 小 允许 值 
pmax: 最 大 允许 值 
f: 正 的 奇 素数 ， 与 力 一 1 互 素 
: LINT 类 型 的 素数 p， 使 用 gcd(zp 一 1， 广 的 概率 检验 得 到 (参见 10.5 节 ) 





LINT findprime (const LINT& pmin, const LINT& pmax, const LINT& f) 
{ 
if (pmin.status == E_LINT INV) LINT::panic (E_LINT VAL, "findprime", 1, _LINE ); 
if (pmax.status == E_LINT_INV) LINT::panic (E_LINT VAL, "findprime", 2, LINE); 
if (pmin > pmax) LINT::panic (E_LINT VAL, "findprime", 1, _ LINE); 
if (f.status == E_LINT INV) LINT::panic (E_LINT VAL, “findprime", 3, _LINE ); 
if (f.iseven()) // 0 < f must be odd 
LINT: :panic (E_LINT VAL, "findprime", 3, _ LINE ); 
LINT p = randBBS (pmin, pmax); 
LINT t = pmax - pmin; 


if (p.iseven()) 
{ 


++p; 
} 
if (p > pmax) 


{ 
p= pmin + p % (t + 1); 


} 
while ((gcd (p - 1, f) != 1) || !p.isprime()) 
{ 
++p; 
while (p > pmax) 


{ 
p = pmin + p % (t + 1); 


if (p.iseven()) 
{ 


++p; 


} 


} 
return p; 


} 
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此 外 ， 可 以 重 载 函数 findprime ()， 为 p 设置 一 个 特定 的 二 进 制 长度 人 代替 区 间 边 界 值 
Hi Pmax 


: 在 [2“'，2‘ 一 1 | 中 产生 一 个 素数 p， 它 满足 附加 条 件 gecd(p—1, f)=1, # 
中 ff 是 一 个 正 的 奇 整数 
: LINT 


findprime (USHORT1, const LINT& f); 
: l: 所 要 的 二 进 制 长 度 
f: EM SRR, 5 p 一 1 互 素 
: 满足 gcd(p 一 1]，/) 二 1 的 LINT 类 型 的 素数 p 





至 于 怎么 选择 密 钥 的 长 度 ， 看 看 大 数 分 解 的 相关 发 展 是 很 有 启发 性 的 : 1996 年 4 月 ， 
在 A. K. Lenstra ”的 指导 下 ， 经 过 美国 和 欧洲 一 些 大 学 和 实验 室 数 月 的 合作 ， 一 个 130 个 
十 进 制 数 的 RSA FER: 
RSA-130 = 18070820886874048059516561644059055662781025167694013 
4917012702145005666254024404838734112759081 
2303371781887966563182013214880557 


被 因 式 分 解 为 : 
RSA-130 = 39685999459597454290161126162883786067576449112810064 
832555157243 
x 4553449864673597218840368689727440886435630126320506 
9600999044599 


然后 在 1999 年 2 月 ，RSA-140 被 因 式 分 解 为 两 个 70 位 的 因子 。 这 是 在 荷兰 CWI 的 
Herman J. J. te Riele 的 指导 下 ， 由 来 自 荷 兰 、 澳 大 利 亚 、 法 国 、 英 国 和 美国 9 的 小 组 成 功 
完成 的 。RSA-30 和 RSA-40 来 自 于 1991 年 由 RSA 数据 安全 股份 有 限 公 司 发 布 的 42 个 
RSA 模 数 列表 ， 该 公司 发 布 此 表 是 为 了 鼓励 密码 研究 团体 S 。 分 解 RSA-130 和 RSA-140 
的 计算 任务 被 分 配给 许多 工作 站 ， 同 时 进行 结果 校对 。 用 于 分 解 RSA-140 的 计算 指出 ， 
约 为 2000 MIPS 448 (RSA-1300 约 为 1000 MIPS 年 ) 。 

此 后 不 入 ， 461999 4F 8 月 底 ，RSA-155 被 分 解 的 消息 传 帝 了 世界 。 同 样 是 在 Herman 
te Riele 指导 下 的 国际 合作 ,花费 了 大 概 8000 MIPS 年 ，RSA 挑战 表 中 的 下 一 个 数字 被 攻 
克 。 将 

RSA-155 = 1094173864157052742180970732204035761200373294544920599 

0913842131476349984288934784717997257891267332497 


625752899781833797076537244027146743531593354333897 
分 解 为 两 个 78 位 的 因子 : 


Lenstra: Arjen K. : (Factorization of RSA-130 using the Number Field Sieve}, http://dbs. cwi. nl. herman. 
NFSrecords/RSA-130, th AJ BW Cowi], 

1999 46 2 H 4 A, #%A«Number Theory Network) ft) Hf #4 Herman. te. Riele@cwi. nl 的 电子 邮件 。 也 可 参见 
http://www. rsasecurity. com, 

http: //www. rsasecurity. com, 

MIPS= mega instructions per second measures( 每 秒 百 万 条 指令 )， 是 计算 机 速度 的 度量 单位 。 计 算 机 在 
1MIPS 条 件 下 工作 可 以 每 秒 执 行 700000 个 加 法 和 300000 个 乘法 。 


@ 由 0 0 
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RSA-155 = 10263959282974110577205419657399167590071656780803 
8066803341933521790711307779 
x 1066034883801684548209272203600128786792079585759 
89291522270608237193062808643 
512 位 的 神秘 界限 被 穿越 ， 而 这 一 长 度 在 很 多 年 中 都 被 认为 是 安全 的 密 钥 长 度 。 
2003 年 4 月 ， 位 于 德国 波恩 的 Gernab 信息 技术 安全 研究 所 (BSD) 完 成 了 RSA 挑战 中 
的 下 一 个 分 解 RSA-160。2003 年 12 月 ， 在 波恩 大 学 联盟 、 波 恩 马 克 斯 普 朗 克 数 学 研究 
所 、 埃 和 森 数学 实验 中 心 以 及 BSI 的 参与 下 ， 共 同 完成 了 174 位 大 数 的 分 解 ， 将 
RSA-576 = 18819881292060796383869723946165043980716356337941738 
2700763356422988859715234665485319060606504743045 
3173880113033967161996923212057340318795506569962 
21305168759307650257059 
分 解 成 两 个 87 MAF: 
RSA-576 = 39807508642406493739712550055038649119906436234252670 
8406385 18957594638895726 1768583317 
x 47277214610743530253622307 197304822463291469530209711 
6459852171130520711256363590397527. 
关于 RSA 算法 的 密 钥 到 底 多 长 才 合 适 的 问题 ， 每 当 大 数 分 解 有 了 新 进展 时 ， 就 会 被 
修正 。A. K. Lenstra 和 Eric R. Verheul 给 出 了 一 些 具体 建议 ， 他 们 描述 一 个 针对 许多 密码 
系统 确定 其 理想 密 钥 长 度 的 模型 (参见 LLeVe]j)。 以 一 组 理由 充分 且 保 守 的 假设 开始 ， 结 
合 当 前 的 一 些 发 现 ， 他 们 预测 了 一 些 最 小 的 密 钥 长 度 ， 这 些 可 作为 未 来 相关 密码 系统 的 长 
度 ， 以 表格 形式 展示 。 表 17-1 给 出 了 相关 的 值 ， 因 取 自 RSA、El-Gamal 和 Diffie-Hell- 
man 的 结果 ， 所 以 对 它们 同样 有 效 。 


表 17-1 Lenstra 和 Verheul 推荐 的 密 钥 长 度 


年 份 密 钥 长 度 (位 ) 
2001 990 
2005 1149 
2010 1369 
2015 1613 
2020 1881 
2025 2174 


可 以 得 出 绪论， 如 有 果 想 对 关键 应 用 提供 足够 让 人 放心 的 安全 性 ， 那 么 RSA 密 钥 的 长 
度 应 该 不 小 于 1024 位 。 然 而 ， 同 样 也 有 结论 表明 ， 成 功 的 大 数 分 解 正 在 渐渐 通 近 这 个 值 ， 
必须 小 心 关注 这 一 进展 。 因 此 ， 区 分 不 同 的 应 用 ， 并 对 敏感 应 用 使 用 2048 位 或 者 更 多 的 
二 进 制 大 数 是 值得 的 (参见 LSchnj 第 7 章 ,，[ RegTj] 附 录 1.4)9. 使 用 FLINT/C 包 ， 可 以 
产生 这 样 长 度 的 密 钥 。 我 们 不 必 担 心 由 于 新 硬件 而 产生 的 大 数 分 解 成 本 的 下 降 ， 因 为 使 用 
相同 的 人 硬件， 我 们 同样 可 以 产生 更 长 的 密 钥 。 通 过 维持 这 种 领先 于 大 数 分 解 一 定 程度 的 状 
态 ， 可 以 保证 RSA 算法 的 安全 性 。 

有 多 少 这 样 的 密 钥 呢 ? 它 是 否 足 以 使 地 球 上 的 每 个 男人 、 女 人 和 小 孩 ( 甚 至 他 们 的 宠 


O ”最 好 选择 二 进 制 长 度 是 8 的 倍数 的 RSA 密 钥 ， 这 样 密 钥 恰 好 能 在 字 节 范围 内 结束 。 
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物 猫 和 宠物 狗 ) 都 拥有 一 个 甚至 多 个 RSA 密 钥 呢 ? 对 此 ， 素 数 定 理 提 供 了 答案 ， 根 据 该 定 
理 ， 小 于 一 个 整数 z 的 素数 个 数 接近 z/lnz( 参 见 第 10 章 ): 1024 位 的 模 数 可 以 由 两 个 接 
近 512 位 素数 的 积 得 到 。 那 么 大 约 有 2/512 个 这 样 的 素数 ， 大 约 10 守 个， 其 中 每 一 对 素 
数 可 以 相 乘 形成 一 个 模 数 。 如 果 设 N=10"', 那么 共有 N(N 一 1)/2 个 这 样 的 数 对 ， 大 约 
有 10…” 个 不 同 模 数 ， 同 时 ， 还 有 同样 这 么 多 个 私 钥 元 素 可 供 选 择 。 这 是 一 个 难以 理解 的 极 
大 数 ， 但 是 可 以 这 样 设想 ， 整 个 可 见 的 宇宙 ri“ 只 ”包含 了 大 约 108 个 基本 粒子 (参见 [Saga | 
第 9 草 ) 。 换 种 说 法 ， 如 果 给 地 球 上 每 个 人 每 天 10 个 新 的 模 数 ， 则 这 一 过 程 将 持续 10” 年 
而 不 重复 使 用 模 数 ， 而 现在 ， 地 球 也 才 “ 只 ”存在 了 几 亿 年 。 

最 后 ， 任 何 消息 显然 都 可 以 被 一 个 正 整 数 所 表示 : 通过 将 字母 表 中 的 每 个 字母 转换 
为 一 个 与 之 唯一 对 应 的 整数 ,一 条 消息 可 以 作为 一 个 整数 来 解释 。 一 个 常用 的 例子 是 字 
符 由 ASCI 码 用 数值 表示 。 一 个 由 ASCI 编码 的 消息 通过 将 单个 字符 的 编码 值 看 作 256 
进 制 的 数字 来 转换 为 一 个 整数 。 这 一 过 程 得 到 的 整数 M 出 现 ged (M, nn) 二 1 的 情况 ( 即 
M 包含 RSA Hn HAF pM gH BRR). WE M 对 于 RSA 密 钥 n 来 说 过 大 ， 即 
M 大 于 n 一 1， 则 该 消息 可 以 被 分 块 为 多 个 小 于 nn 的 块 Mi，M;，M;，…。 这 些 块 必须 被 
分 别 加 密 。 

对 于 很 长 的 消息 ， 这 将 变 得 很 浪费 时 间 ， 因 此 RSA 算法 很 少 用 来 加 密 长 消息 。 可 以 
使 用 对 称 密码 系统 (如 三 重 DES, IDES 或 者 Rijndael; 参见 第 11 章 和 [Schn |] 的 第 12、13、 
14 章 )， 它 们 在 同等 安全 的 条 件 下 运算 速度 更 快 。 对 称 加 密 的 密 钥 必须 双方 拥有 ， 而 RSA 
算法 可 以 胜任 加 密 对 称 密 钥 并 进行 传输 的 工作 。 


17.3 RSA 数字 签名 


“MEF, tH,” Knave#h, “RAAB, 他 们 不 能 证 明 我 赎 过 : 因为 结尾 没有 
我 的 签名 。” 





Lewis Carroll, 《 Alice’ s Adventures in Wonderland) 


为 了 弄 清楚 怎么 使 用 RSA 算法 产生 数字 签名 ， 可 以 考虑 如 下 过 程 : 参与 者 A 发 送 一 
个 融 有 她 数字 签名 的 消息 M 给 通信 方 B， 对 此 ，B 需要 检验 签名 的 有 效 性 。 
1) A 产生 她 自己 的 RSA $H, E na da 和 es 。 然 后 将 她 的 公 钥 (es n) REA B. 
2) A 现在 打算 将 带 有 她 自己 签名 的 信息 M 发 送 给 B。 为 此 ， 需 要 使 用 宛 余 函数 u” 
生 见 余 R= 二 uy(M)， 其 中 R 二 ns。 然 后 A 计算 签名 
S = Ra mod na 
并 发 送 (M，S) 给 B. 
3) BHA A 的 公 钥 tea，ns)。 在 B 收 到 消息 M 和 A 的 签名 S 后 ，B 用 A 的 公 钥 (es， 
nA) 计算 : 
R = (MM) 
R' 一 Se mod na 
4) 现在 BFR R =R 是 否 成 立 。 如 果 成 立 ， 则 B 接受 A 的 签名 。 和 否则 ，B 将 拒 
绝 这 一 签名 。 
需要 通过 单独 传输 签名 信息 M 才能 被 检验 的 数字 签名 称 为 带 附 录 的 数字 签名 。 
审 附 录 的 数字 签名 主要 用 于 被 签名 消息 的 数值 长 度 超过 模 数 的 签名 情况 ， 即 Mn. 
原则 上 ， 可 以 将 上 述 消 息 分 为 多 个 适当 长 度 的 块 M ，M: ，M: ，…， 使 其 长 度 满 足 M< 
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n， 并 对 每 个 块 分 别 进行 加 密 和 和 签名。 然而， 在 这 种 情况 下 ， 会 产生 块 次 序 混合 和 块 签名 
伪造 的 问题 。 至 少 有 两 个 充分 的 理由 让 我 们 放弃 构造 块 方法 ， 而 采用 上 面 提 到 的 计算 数字 
签名 的 元 余 图 数 uo 

第 一 个 理由 是 宛 余 函数 es 骂 一 Z, 可 以 将 信息 空间 M 中 的 任意 消息 M 映射 到 剩余 类 
环 Z, 中 ， 这 里 ， 消 息 通常 使 用 散 列 函数 约 简 到 值 z 过 2”， 然 后 将 它 与 预定 义 的 字符 序列 
相连 接 。 因 为 在 wx 下 的 M 是 在 一 个 单独 的 RSA 步骤 内 被 签名 的 ， 且 相应 的 散 列 函数 可 以 
通过 设计 而 很 快 地 进行 ， 所 以 与 对 M 进行 分 块 的 方法 相 比 ， 使 用 这 种 方法 节约 了 大 量 的 
时 间 。 

第 二 个 理由 是 RSA 算法 有 一 个 对 产生 签名 不 利 的 属性 : 对 于 两 个 消息 M MM, A 
乘法 关系 

(Mi,M;)” mod n = (M{M?) mod n (17-4) 
成 立 ， 如 果 不 对 其 采取 行动 ， 该 属性 将 为 伪造 签名 提供 文 持 。 

RSA 函数 这 一 属性 称 为 同 态 ， 由 于 这 一 属性 ， 不 包含 见 余 R 的 消息 可 能 在 被 签名 时 
用 “隐藏 的 ”签名 签署 。 为 了 做 到 这 一 点 ， 可 选择 一 个 秘密 消息 M 和 一 个 无 害 消 息 Mi， 
由 它们 形成 男 一 个 消息 M: :二 MM mod ns。 如 果 一 个 人 成 功 地 得 到 个 人 或 者 机 构 A 对 消 
AM, 和 M, 的 签名 Si 二 Mis mod na Fl S2= Mya mod nas， 则 他 可 以 通过 计算 SS mod 
na 产生 对 M 的 签名 ， 这 可 能 是 A 没有 想到 的 ，A 在 产生 S AS, 时 可 能 没有 注意 到 这 一 
点 : 在 这 种 情况 下 ， 可 以 说 消息 M 有 “隐藏 的 ”签名 。 

当然 ， 有 人 会 反对 说 M: 并 不 具有 很 高 的 概率 能 表示 一 段 有 意义 的 文本 ， 并 且 A 在 不 
检测 文本 内 容 的 情况 下 也 不 会 轻易 将 一 个 签名 Mi 或 M: 发 送 给 一 个 陌生 人 。 然 而 ， 当 我 
们 利用 人 为 因素 来 证 明 一 个 密码 系统 协议 具有 弱点 时 ， 不 能 仅仅 依赖 于 这 样 的 合理 性 假 
设 ， 尤 其 是 这 样 的 弱点 可 以 被 消除 ， 例 如 在 这 种 包含 了 元 余 的 情况 下 。 为 了 实现 这 种 元 
R TUR PRB jy 必须 满足 下 列 性 质 : 

u(M, M,) Æ yu Mi) pM;) (17-5) 
其 中 所 有 的 M,, MEW, KERER A BRMARARACAT RARE. 

称 作 带 消 息 恢复 的 数字 签名 (参见 LMOVj 第 11 章 、LISO2j 和 [LISO3]) 可 作为 带 附 录 的 
数字 签名 的 一 种 补充 ， 该 方法 可 以 从 签名 本 身 提 取出 原来 被 签名 的 消息 。 基 于 RSA 算法 
的 带 消 息 恢 复 的 数字 签名 特别 适用 于 短 消 息 ， 其 二 进 制 长 度 小 于 模 数 的 二 进 制 长 度 的 一 半 
为 最 佳 。 

然而 ， 在 任何 情况 下 ， 都 应 仔细 检查 元 余 函 数 的 安全 属性 ，1999 年 由 Coron, Nac- 
cache 和 Stern 发 表 的 对 于 这 一 设计 的 攻击 方案 证 明了 这 一 点 。 该 方法 的 前 提 是 攻击 者 可 
以 获得 多 个 消息 的 RSA 签名 集合 ， 且 消息 的 整数 表示 能 被 一 个 小 素数 整除 。 基 于 消息 的 
这 些 特 性 ， 如 果 在 有 利 的 条 件 下 ， 就 算 没 有 签名 密 钥 ， 也 可 以 对 其 他 消息 进行 签名 ， 相 当 
于 可 以 伪造 其 签名 (参见 LCoro]) 。ISO 对 这 一 进展 做 出 回应 : 1999 年 10 A, SC 27 工作 
组 撤销 了 LISO2j] 标 准 ， 并 发 表 了 如 下 声明 ， 

基于 对 于 RSA 数字 签名 方案 的 各 种 攻击 ……ISO/IEC JTC 1/SC 27 一 致 同意 ， 

IS 9796: 1991 对 数字 签名 应 用 不 能 提供 充分 的 安全 性 ， 故 提议 将 其 撤销 。”S 
撤销 的 标准 主要 针对 将 RSA 函数 直接 用 于 短 消息 的 数字 签名 ， 不 包含 有 散 列 函数 参数 的 
市 附录 的 数字 签名 。 


© ISO/IEC JTC 1/SC 27: «(Recommendation on the withdrawal of IS 9796}, 1991 £ 10 H 6H. 
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RSA 实验 室 的 PKCS #1 格式 规定 了 一 个 广泛 传播 的 元 余 方 案 ，Coron、Naccache 和 
Stern 的 攻击 对 这 一 方案 最 多 只 有 理论 上 的 影响 ， 并 不 能 对 其 产生 实质 性 的 威胁 (参见 
CRDS1], [Coro]11~13 页 、LRDS2])。PKCS #1 格式 规定 了 一 个 所 谓 的 加 密 块 EB 应 该 
如 何 作为 一 个 加 密 或 签名 操作 的 输入 : 

EB=00 || BT || PS, || | PS, || 00 || Dy | | Dn 

在 开头 ， 前 导 字 节 00 以 后 是 描述 块 类 型 的 字 节 BT(01 代表 私 钥 运 算 ， 即 签名 ; 02 10 
表 公 钥 运 算 ， 即 加 密 )， 之 后 是 至 少 8 个 填充 字 节 PS …PS ，Z>8， 在 签名 时 的 值 为 FF 
(hex)， 在 加 密 时 的 值 为 非 零 随机 数 。 之 后 的 00 是 分 隅 符 字 节 ， 最 后 出 现 的 数据 字 节 Di… 
D,， 也 称 为 负载 。 填 充 字 节 PS, 的 数目 4 由 模 数 mr 和 数据 字 节 的 个 数 决定 : ER: 


GEE) eon << ~ (17-6) 
那么 : 
,ek CLR 
并 且 对 于 数据 字 节 的 个 数 nw， 它 满足 
AS ee 1d (17-8) 


最 小 填充 字 节 数 的 值 ?之 8， 这 是 为 了 加 密 的 安全 性 考虑 。 对 于 短 消 息 ， 攻 击 者 可 以 在 
不 知道 相关 密 钥 的 情况 下 ， 把 所 有 被 公 钥 加 密 消 息 的 可 能 值 与 给 定 的 加 密 消 息 相 比较 来 确 
定 明 文 ， 而 填充 字 节 可 以 阻止 这 种 攻击 ” 。 

特别 地 ， 当 一 个 消息 被 多 个 密 钥 加 密 时 ， 必 须 注意 PS; 应 该 是 随机 数 ， 且 每 次 加 密 都 
是 新 的 。 

在 签名 时 ， 数 据 字 节 D: 通常 由 散 列 函数 H 的 标识 符 和 散 列 函数 的 值 日 (M)( 称 为 散 
列 值 ) 组 成 ， 它 表示 消息 M 被 签名 。 得 到 的 数据 结构 叫 作 摘要 (DigestInfo) 。 在 这 种 情况 
下 ， 数 据 字 节 的 长 度 与 散 列 值 常 数 的 长 度 有 关 ， 而 与 消息 的 长 度 无 关 。 当 M 远大 于 H (M) 
时 ， 这 是 非常 有 利 的。 我 们 不 讨论 得 到 数字 摘要 的 具体 步骤 ， 而 是 简单 地 假定 数据 字 节 与 
值 互 COM) 相 对 应 (参见 LRDS1]) 。 

从 密码 学 的 观点 来 看 ， 应 该 将 一 些 根 本 要 求 附 加 到 散 列 函数 上 ， 这 样 既 不 会 削弱 基于 
这 种 函数 的 元 余 方案 的 安全 性 ， 又 不 会 对 整个 签名 过 程 产生 疑问 。 当 我 们 使 用 散 列 函数 和 
宛 余 函数 进行 数字 签名 和 一 些 可 能 产生 的 相关 操作 时 ， 我 们 发 现 了 下 列 情况 。 

按照 我 们 目前 的 考虑 ， 首 先 假设 带 附 录 的 数字 签名 的 元 余 为 R= 二 jy(M)， 其 中 ，R==j(MW) 
主要 为 被 签名 消息 的 散 列 值 。 两 个 消息 M 和 M, wR H(M)=H(M), 那么 aM) = 
AGOM )， 则 拥有 相同 的 签名 S=R?=p(M*)=1(M')! mod n。 消 息 M 签名 的 一 个 接收 者 现在 
可 以 判断 该 签名 确实 是 属于 M 的 ， 但 通常 这 与 发 送 者 的 意愿 是 相悖 的 。 同 样 ， 发 送 者 也 可 
以 假设 其 实际 是 签名 了 消息 M 。 这 里 的 论点 是 消息 MAM, PFE H(M)S=HM'), RE 
由 于 无 穷 的 消息 映射 到 有 限 的 散 列 值 中 。 这 是 采用 固定 长 度 散 列 值 进行 存储 的 代价 。 

我 们 必须 假设 不 同 消息 在 特殊 的 散 列 或 元 余 函 数 下 也 可 能 拥有 相同 的 数字 签名 (这 里 
我 们 假设 使 用 相同 的 签名 密 钥 ) ， 但 这 样 的 消息 确实 不 容易 找到 或 者 创建 。 

总 之 ， 散 列 函 数 应 该 易于 计算 ， 但 在 求 逆 映射 的 情况 下 却 不 是 这 样 。 逆 映射 是 指 给 定 
一 个 散 列 函数 的 值 五 ， 求 出 其 相对 应 的 原 像 ， 这 应 该 是 困难 的 。 具 有 这 种 性 质 的 函数 称 为 
单 向 函数 。 另 外 ， 散 列 函 数 应 该 是 抗 碰撞 的 ， 抗 碰撞 是 指 给 定 一 个 散 列 值 ， 找 到 其 不 同 的 


OQ 我们 在 之 前 提 到 的 Boneh, Joux 和 Nguyen 的 攻击 。 
加 “可 以 用 数学 语言 描述 ， 散 列 函数 H: Ji-~> 忆 ,将 任意 长 度 的 消息 映射 到 Z, 中 的 值 不 是 单 射 的 。 
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两 个 原 像 是 困难 的 。 目前， 广泛 应 用 的 函数 RIPEMD-160( 参 见 LDoBPj) 和 安全 散 列 算法 
SHA-1( 参 见 [ISO1]) 都 满足 这 些 性 质 。 然 而 ， 近 期 逐渐 出 现 了 一 些 新 的 需求 ， 其 对 散 列 值 
长 度 要 求 大 于 或 等 于 256 位 (根据 2010 年 NIST 和 LRegTj])。 

最 近 ， 一 些 发现 冲突 的 报告 引起 了 各 界 对 于 寻求 一 种 新 的 散 列 算法 的 讨论 。2004 年 ， 
发 表 的 关于 哈 希 函数 的 算法 有 MD4, MD5, HAVAL128, RIPEMD, SHA-0°, 以 及 一 
个 由 SHA-1 演变 的 减少 传递 次 数 的 算法 (参见 LWELY])。 与 此 同时 ， 当 所 有 这 些 算法 被 
认为 不 够 健壮 ， 特 别 是 在 创建 数字 签名 时 认为 不 适合 使 用 时 ， 一 个 相似 的 产物 SHA-1 B 
将 戏剧 性 地 占领 统 地 位 。2005 年 1 月， 报道 了 这 一 事件 ， 这 一 重大 的 消息 似乎 让 读者 比 作 
者 产生 了 更 大 的 兴趣 ， 但 依然 没有 完全 握 弃 原来 的 算法 ， 束 缚 的 绳子 依然 很 紧 。 然 而 ， 当 
时 对 于 模糊 理论 的 惊 恕 情绪 实在 不 应 该 有 ， 因 为 从 现在 来 看 ，SHA-1 已 经 被 广泛 应 用 ， 
产生 了 对 无 数 应 用 的 强大 影 啊 。 

不 同 用 户 该 不 该 使 用 SHA-1 算法 ,在 对 某 个 应 用 领域 的 新 攻击 出 现 可 能 结果 之 前 ， 
是 不 具备 讨论 意义 的 ， 因 此 对 此 所 采取 的 措施 应 该 小 心 谨慎 。 在 大 多 数 情况 下 ， 急 于 采取 
行动 是 不 可 取 的 ， 相 反 ， 和 那些 已 经 中 期 或 长 期 存在 的 方法 才 合适 相关 的 应 用 。 新 的 散 列 画 
数 将 在 可 预期 的 未 来 由 于 越 来 越 多 的 攻击 方式 、 越 来 越 高 的 安全 需求 而 得 到 应 用 ， 而 不 是 
每 半年 就 出 现在 新 闻 的 头条 上 。 相 同 的 答案 同时 也 出 现在 了 SHA-224、SHA-256、SHA- 
384 pilai SHA-512( 参 见 LF180j) 上 。 块 长 度 的 增加 可 能 不 能 弥补 某 些 散 列 函数 功 
能 块 的 漏洞 。 经 稼 会 出 现 与 块 长 度 无 关 的 攻击 方法 ， 这 些 在 之 前 已 经 讨论 过 。 

怎么 找到 合适 的 算法 呢 ? 这 个 问题 已 经 被 致力 于 发 展 与 RIPE GAS AKAM RIPEMD 
的 欧盟 与 致力 于 发 展 AES 的 美国 所 回答 。 在 公开 透明 的 国际 苑 争 环境 下 ， 散 列 算法 的 新 
成 员 将 被 公开 测试 ， 最 终 选 出 最 优 的 算法 。 这 一 过 程 的 唯一 缺点 是 太 耗 时 了 : AES 从 宣 
布 参 选 到 最 终 脱颖而出 总 共 耗 时 3 年 ， 到 最 终 2001 年 发 表 标准 共 耗 时 4 年 。 有 了 之 前 的 
经 验 ， 直 到 2010 年 ， 新 的 散 列 函数 才 发 展 成 为 标准 ， 尽 管 移植 到 新 算法 (或 者 ， 两 三 个 算 
法 ) 也 会 花 时 间 。 

对 于 特定 的 应 用 是 否 有 必要 使 用 一 些 过 渡 算 法 ， 相 应 会 产生 什么 样 的 后 果 ， 这 些 只 能 
具体 问题 具体 分 析 。 

我 们 不 能 进一步 讨论 这 一 话题 ， 但 它 确 实 对 密码 学 非常 重要 ， 有 兴趣 的 读者 可 以 参考 
[Prenj 或 者 LUMOVjJ 的 第 9 章 ， 以 及 其 中 引述 的 文献 ， 尤 其 是 一 些 实时 的 文献 。LIEEE ] fy 
第 12 Æ “Encoding Methods” (加 密 方法 ) 讲 述 了 将 消息 或 者 散 列 值 转换 为 自然 数 的 方法 
(我 们 已 经 实现 了 相应 的 函数 clint2byte 1 () 和 byte2clint 1(); 参见 第 8 章 )。 
RIPEMD-160、SHA-1 以 及 SHA-256 的 实现 可 以 在 可 下 载 源 代码 ripemd. c, shal. c 和 
sha256. c 中 找到 。 

仔细 考虑 以 上 所 述 的 签名 协议 ， 我 们 可 以 立刻 发 现 以 下 问题 : B 怎么 样 才 能 知道 他 是 
否 拥有 A 的 认证 公 钥 ? 如 果 不 保 证 这 个 条 件 成 立 ， 即 使 签名 可 以 由 上 述 方法 验证 ，B 也 不 
能 信任 该 签名 。 这 在 A 与 B 并 不 认识 对 方 或 者 没有 亲自 交换 公 钥 时 变 得 很 关键 ， 然 而 在 
因特网 上 ， 通 信和 双方 互 不 认识 是 司空 见 惯 的 。 

为 了 让 B 可 以 信任 A 的 数字 签名 ，A 可 以 给 她 的 通信 伙伴 一 个 证 书 ， 该 证 书 来 自 一 
个 证 书 认证 机 构 ， 该 机 构 可 以 对 A 的 公 钥 做 出 认证 。 一 个 非 正 式 的 “收据 ”， 人 们 可 以 信 


O 这 是 在 1993 年 发 布 的 SHA-1 的 一 个 早期 版 本 ，1995 年 被 更 名 为 SHA-1， 它 可 以 克服 原 有 的 一 些 弱 点 。 
© RIPEMD 由 了 RIPEMD160( 参 见 LDoBP]) 进 一 步 发 展 的 。 尽 管 RIPEMD160 支持 度 不 如 SHA-1， 但 它 至 今 为 
止 没 有 被 攻破 过 。 
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任 它 ， 也 可 以 不 信任 它 ， 这 显然 是 不 合适 的 。 然 而 ， 证 书 是 按照 某 种 标准 ?进行 格式 化 的 
数据 集 ， 它 可 以 证 明 A 的 身份 与 公 钥 ， 它 自身 也 能 被 证 书 认 证 机 构 数 字 签 名 。 

一 个 参与 者 的 密 钥 的 真实 性 可 以 借助 证 书 中 包含 的 信息 来 验证 。 支 持 这 种 验证 的 软件 
已 经 出 现 了 。 未 来 ， 这 种 应 用 的 技术 和 组 织 基础 将 基于 所 谓 的 公 钥 基础 设施 (PKI)。 具 体 
的 应 用 有 电子 邮件 的 数字 签名 、 商 业 交 易 的 验证 、 电 子 商务 和 移动 商务 、 电 子 银 行 、 证 书 
管理 和 行政 程序 ( 见 图 17-1). 


版 本 证 书 的 版 本 号 ， 如 V3) 

序列 号 “证 书 唯一 的 整数 标识 符 ) 

签名 《用 于 签名 证 书 的 算法 标识 符 ID ) 

发 行者 名 发 行者 的 X.500 区 分 名 ) 

有 效 性 证 书 的 有 效 期 ) 

主体 名 〈 持 有 者 的 X.500 区 分 名 ) 
主体 的 公 钥 信息 〈 持 有 者 的 公 钥 ) 

发 行者 的 唯一 标识 符 〈 选 项 、 发 行者 唯一 标识 符 ) 
主体 的 唯一 标识 符 〈 选 项 、 持 有 者 唯一 标识 符 ) 
扩展 〈 选 项) 


认证 中 心 的 数字 签名 


1101111100001 1101001001 1110... | 











1001 11000101 111010101 1101 10... | 
认证 中 心 的 私 钥 
图 17-1 证 书 构造 的 一 个 例子 
在 B 知道 认证 中 心 公 和 钥 的 假设 下 ，B 可 以 验证 由 A 提供 的 证 书 ， 之 后 A 的 签名 都 可 
以 由 于 进行 了 证 书 验证 而 被 信任 。 
在 图 17-2 中 的 例子 ， 展 示 了 客户 的 数字 签名 银行 结算 单 ， 该 清单 有 被 证 书 认 证 中 心 
认证 的 证 书 ， 可 以 证 明 上 述 过 程 。 













序列 号 WwW 银行 的 银行 结算 单 

签名 顾客 : Browser 

发 行者 名 Bernard 

有 效 性 账户 : 1234567890 
oM m 结余 : $4286.37 

主体 名 ors r : 06/14/2000 

发 行者 标识 符 银行 的 公 钥 


10110 11110 11000 111100 o 
01111 00000 11011 1001° 11010 01001 11001 11111 


银行 的 证 书 数字 签名 的 银行 结算 单 
B 验 证 银行 提供 的 证 书 并 使 用 银行 的 公 钼 来 验证 银行 的 数字 签名 
图 17-2 验证 数字 签名 的 证 书 


O ”被 广泛 应 用 的 标准 是 ISO 9594-8， 它 等 价 于 ITU-T( 以 前 的 CCITT) 推 荐 的 X. 509v3, 
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这 样 的 银行 结算 单 具 有 可 通过 电子 传输 方式 到 达 客 户 手 上 的 优势 ， 如 电子 邮件 ， 为 了 
进一步 保证 信息 的 可 信任 性 ， 它 被 加 密 发 送 。 

然而 ， 信 任 问 题 并 没有 被 奇迹 般 地 解决 ， 而 只 是 被 转移 了 : 现在 B 不 再 需要 直接 信任 
A 密 钥 的 有 效 性 (上 述 例子 中 为 银行 的 密 钥 )， 而 是 在 交换 中 检查 由 A 提供 的 证 书 的 真实 
性 。 为 了 获得 可 靠 性 ， 证 书 在 每 次 重新 使 用 时 需要 验证 其 有 效 性 ， 无 论 它 来 自发 行 证 书 的 
中 心 还 是 其 代理 机 构 。 仅 当 符 合 下 列 条 件 时 ， 这 个 过 程 才 是 成 功 的 : 

© 证 书 认 证 机 构 的 公 钥 是 已 知 的 。 

e 证 书 认 证 机 构 非 常 关心 对 证 书 接受 者 的 验证 和 他 们 的 证 书 私 钥 的 保护 。 

为 了 满足 上 述 第 一 个 条 件 ， 证 书 认 证 机 构 的 公 钥 需要 通过 另 一 个 更 高 级 的 认证 机 构 认 
证 ， 这 样 不 断 认 证 ， 最 终 得 到 一 个 证 书 认 证 机 构 和 证 书 的 层次 等 级 。 然 而 ， 沿 着 这 样 一 个 
层次 等 级 验证 ， 需 要 假设 最 高 证 书 认 证 机 构 ( 即 根 认 证 机 构 ) 是 可 信任 的 。 因 此 ， 对 其 密 钼 
的 认证 需要 通过 其 他 合适 的 技术 或 组 织 手 段 来 建立 。 

当然 ， 第 二 个 条 件 对 认证 层次 等 级 中 的 所 有 认证 机 构 都 成 立 。 一 个 证 书 认 证 机 构 ， 在 
保证 签名 的 法 律 效 力 的 意义 上 来 说 ， 必 须 建 立 组 织 和 技术 上 的 手段 ， 其 细节 需求 应 该 按照 
相关 的 法 律 或 法 令 实施 。 

1999 年 年 底 ， 欧 盟 颁 布 了 一 条 指令 ， 要 求 建立 一 套 欧洲 的 数字 签名 应 用 框架 (参见 
[EU99])。 这 一 指导 方针 颁布 的 目的 是 为 避免 各 成 员 国 之 间 制 定 冲 突 的 规定 。 这 一 方针 是 
由 SigG 最 初 的 1997 年 版 本 中 分 离 出 来 的 规则 ， 以 及 同样 是 1997 年 版 本 的 SigG 中 的 “ 合 
法 技术 方法 ”， 再 加 上 “市 场 经 济 方法 ”， 而 组 成 了 一 个 “混合 方案 ”。 合 法 技术 方法 由 
“先进 的 ”和 “合格 的 电子 签名 ”所 表示 ， 市 场 经 济 方法 由 “电子 签名 ”表示 。 

方针 中 保障 实际 安全 性 的 重要 条 例 作 为 证 书 服务 提供 商 的 一 个 法 律 责 任 补充 ， 主要 涉 
及 对 于 组 件 技术 安全 性 的 要 求 ， 以 及 认证 服务 提供 商 的 设备 、 服 务 流 程 和 监控 的 安全 性 
要 求 。 

2001 年 第 一 季度 ， 欧 盟 的 指导 方针 被 实施 ， 德 国 签名 法 案 的 一 个 相关 修正 案 被 包含 
其 中 。 它 不 同 于 旧 法 案 的 巨大 变革 是 对 “合格 的 电子 签名 ”的 接受 ， 这 一 签名 现在 允许 作 
为 手写 签名 的 替代 品 ， 也 可 作为 法 庭 证 供 。 

该 法 案 的 目的 是 为 实现 合格 的 电子 签名 创造 基础 条 件 。 使 用 电子 签名 是 可 选 的 ， 尽 管 
某 一 管理 条 例 可 能 要 求 在 某 一 案例 上 做 特别 要 求 。 尤 其 是 在 一 些 公 共 机 构 的 工作 中 ， 某 些 
条 例会 要 求 使 用 合法 的 电子 签名 。 

现在 ,我 们 要 结束 这 一 有 趣 的 论题 ， 想 进一步 深入 研究 的 谈 者 可 以 参见 [Biesj]、 
[Glad]、LAdam ]、[L Mied | 和 [Fegh]。 最 后 ， 我 们 将 注意 力 放 到 提供 加 密 和 产生 数字 签名 
的 C++ 类 实现 上 。 


17.4 C++ 的 RSA 类 


在 这 一 节 中 ， 我 们 将 开发 一 个 C++ 类 RSAkey, CHA MR: 

e@ RSAkey::RSAkey(): 用 于 生成 RSA 密 钥 。 

è RSAkey::export () : 用 于 输出 公 针 。 

® RSAkey::decrpt (): 用 于 解密 。 

e RSAkey::sign(): 用 于 在 散 列 函数 RIPEMD-160 下 进行 数字 签名 。 
另 一 个 类 RSApub 用 于 存储 和 公 钥 应 用 ， 仅 包含 下 列 函 数 : 

© RSApub::RSApub(): 用 于 输入 一 个 RSAkey X R KAH. 
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è RSApub::crypt () : 用 于 加 密 一 条 消息 。 

® RSApub::authenticate(): 用 于 验证 一 个 数字 签名 。 

这 里 的 思想 不 是 简单 地 把 密 钥 看 作 带 有 特殊 密码 学 性 质 的 数 ， 而 是 将 其 看 作 一 种 封 
装 ， 密 钥 仅 提供 应 用 其 自身 的 对 外 接口 函数 ， 但 限制 外 部 对 私 钥 数据 的 非 授 权 访 问 。 因 此 
在 产生 一 个 密 钥 后 ， 类 RSAkey 的 对 象 包含 RSA 密 钥 的 公 钥 元 素 和 私 钥 元 素 作 为 私有 成 
员 ， 以 及 用 于 加 密 和 签名 的 公开 函数 。 构 造 函 数 产 生 的 密 钥 具有 如 下 可 选 特征 : 

o 长 度 固 定 且 在 BBS 随机 数 发 生 器 内 部 进行 初始 化 。 

o 长 度 可 变 且 在 BBS 随机 数 发 生 器 内 部 进行 初始 化 ; 

o 长 度 可 变 且 通过 程序 调用 传人 一 个 LINT 类 型 的 初始 化 值 到 BBS 随机 数 发 生 器 进行 

初始 化 。 

类 RSApub 的 对 象 只 包含 公 铀 ， 加 密 函 数 和 验证 数字 签名 的 函数 ， 其 中 公 钥 只 能 由 
RSAkey 对 和 象 输入 。 为 了 产生 一 个 RSApub 类 的 对 象 ， 必 须 存 在 一 个 已 经 初始 化 的 RSAkey 
对 象 。 与 RSAkey 类 的 对 象 相 比 ，RSApub 对 象 是 不 可 靠 的 ， 处 理 起 来 更 加 自由 。 在 严格 
的 应 用 中 ，RSAkey 对 象 必须 以 加 密 的 形式 或 者 在 特别 的 硬件 保护 措施 下 ， 在 数据 媒体 中 
传输 或 存储 。 

在 实现 这 些 类 之 前 ， 我 们 希望 能 设置 一 些 限制 条 件 来 减少 实现 开销 ， 以 符合 其 仅仅 作 
为 一 个 演示 用 例 的 身份 : 为 了 简单 起 见 ，RSA 加 密 函 数 的 输入 值 需 要 小 于 模 数 ;， 不 会 发 
生长 消息 被 分 成 多 块 的 情况 ; 并且， 我 们 先 不 实现 一 个 完整 的 RSA 类 中 必 不 可 少 的 需 付 
出 较 高 代价 的 功能 性 以 及 安全 相关 的 特征 (参见 第 17 章 )。 

然而 ， 我 们 并 没有 放弃 对 于 解密 和 签名 计算 时 间 的 提升 。 通 过 对 于 中 国 剩余 定理 ( 参 
见 第 10 草 ) 的 应 用 ， 使 用 私 钥 d 的 RSA 计算 将 比 使 用 单一 寡 计 算 的 传统 方法 快 约 4 倍 : 
AEH <d, n>, n=pq, IWF d, :=d mod(p 一 1) 和 4d, :=d mod(q—1), ， 并 运用 扩展 
的 Euclidean 算法 来 计算 表达 式 1 二 rp 十 sg， 我 们 取 值 + EX p 模 g 的 乘法 逆 ( 参 见 10. 2 
节 )。 我 们 借助 p. gq. dis des r ÆA =m” mod n: 

1) 计算 wa < mod p Mam mod gq. 

2) 计算 c= a, + (la, —a Yr mod g), 

POR 1 之 后 ， 得 到 a =m =m‘ mod p H a: =m =m mod g。 为 了 和 弄 明白 其 中 的 道 
理 ， 可 使 用 Fermat 小 定理 证 明 ( 人 参见 第 10 章 )， 根 据 该 定理 ， 分 别 有 m =l mod p, 
m* '=1 mod g。 由 d=¢(p—1)+d,, 为 一 整数 ， 有 : 

m’ = mP i, = (mt)m’ = m4 mod p, (17-9) 
类 似 地 ， 对 m’ mod g 有 同样 的 结果 。 对 m =p, m =q, r:=2 应 用 Garner 算法 (参见 
第 10 草 )， 可 以 得 到 步骤 2 中 < 表示 的 结果 。 快 速 解密 由 辅助 函数 RSAkey:: fastde- 
crypt() 实 现 。 所 有 的 元 素 p、g 或 n 通过 带 LINT 函数 的 Montgomery 求 寡 函 数 运算 得 到 
(参见 第 15 Æ), 


// Selection from the include file rsakey.h 


#include "flintpp.h" 

#include "ripemd.h" 

#define BLOCKTYPE SIGN 01 

#define BLOCKTYPE ENCR 02 

// The RSA key structure with all key components 


typedef struct 
{ 
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LINT pubexp, prvexp, mod, p, q, ep, eq, T; 
USHORT bitlen mod;// binary length of modulus 
USHORT bytelen_mod; // length of modulus in bytes 
} KEYSTRUCT; 
// the structure with the public key components 
typedef struct 
{ 
LINT pubexp, mod; 
USHORT bitlen_mod;// binary length of the modulus 
USHORT bytelen mod; // length of modulus in bytes 
} PKEYSTRUCT; 


class RSAkey 
{ 
public: 

inline RSAkey (void) {}; 
RSAkey (int); 
RSAkey (int, const LINT&) ; 
PKEYSTRUCT export public (void) const; 
UCHAR* decrypt (const LINT&, int*); 
LINT sign (const UCHAR*, int); 


private: 
KEYSTRUCT key; 


// auxiliary functions 
int makekey (int, const LINT& = 1); 
int testkey (void); 
LINT fastdecrypt (const LINT&); 

}; 

class RSApub 

{ 

public: 

inline RSApub (void) {}; 
RSApub (const RSAkey&); 
LINT crypt (const UCHAR*, int); 
int verify (const UCHAR*,ž int, const LINT&); 


private: 
PKEYSTRUCT pkey; 
}; 


// selection from module rsakey.cpp 


#include "rsakey.h" 
HUAIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIII I II I I 
// member functions of the class RSAkey 

// constructor generates RSA keys of specified binary length 

RSAkey: :RSAkey (int bitlen) 

{ 


int done; 
seedBBS ((unsigned long)time (NULL)); 
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do 
{ 
done = RSAkey::makekey (bitlen); 
} 
while (!done); 


} 


// constructor, generates RSA keys of specified binary length to the 
// optional public exponent PubExp. The initialization of random number 
// generator randBBS() is carried out with the specified LINT argument rnd. 
// If PubExp == 1 or it is absent, then the public exponent is chosen 
// randomly. If PubExp is even, then an error status is generated 
// via makekey(), which can be caught by try() and catch() if 
// error handling is activated using Exceptions. 
RSAkey: :RSAkey (int bitlen, const LINT& rand, const LINT& PubExp) 
{ 

int done; 

seedBBS (rand); 

do 


{ 
done = RSAkey::makekey (bitlen, PubExp); 


} 
while (!done); 


} 


// export function for public key components 
PKEYSTRUCT RSAkey: :export public (void) const 
{ 

PKEYSTRUCT pktmp; 

pktmp.pubexp = key.pubexp; 

pktmp.mod = key.mod; 

pktmp.bitlen_mod = key.bitlen_mod; 

pktmp.bytelen_mod = key.bytelen mod; 

return pktmp; 
} 


// RSA decryption 
UCHAR* RSAkey::decrypt (const LINT& Ciph, int* LenMess) 
{ 
UCHAR* EB = lint2byte (fastdecrypt (Ciph), LenEB); 
UCHAR* Mess = NULL; 
// Parse decrypted encryption block, PKCS#1 formatted 
if (BLOCKTYPE_ENCR != parse pkcs1 (Mess, EB, LenEB, key.bytelen mod)) 
{ 
// wrong block type or incorrect format 
return (UCHAR*)NULL; 
} 
else 
{ 
return Mess; // return pointer to message 


} 
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// RSA signing 
LINT RSAkey::sign (const UCHAR* Mess, int LenMess) 
{ 
int LenEncryptionBlock = key.bytelen mod - 1; 
UCHAR HashRes[RMDVER>>3]; 
UCHAR* EncryptionBlock = new UCHAR[LenEncryptionBlock]; 


ripemd160 (HashRes, (UCHAR*)Mess, (ULONG)LenMess); 


if (NULL == format pkcs1 (EncryptionBlock, LenEncryptionBLock, 
BLOCKTYPE SIGN, HashRes, RMDVER >> 3)) 
{ 
delete [] EncryptionBlock; 
return LINT (0);// error in formatting: message too long 


} 


// change encryption block into LINT number (constructor 3) 
LINT m = LINT (EncryptionBlock, LenEncryptionBlock) ; 
delete [] EncryptionBlock; 


return fastdecrypt (m); 
} 


[ANNA 
// private auxiliary functions of the class RSAkey 


// ... among other things: RSA key generation according to IEEE P1363, Annex A 
// If parameter PubExp == 1 or is absent, a public exponent 
// of length half the modulus is determined randomly. 
int RSAkey::makekey (int length, const LINT& PubExp) 
{ 
// generate prime p such that 2 ° (m- r - 1) <= p< 2^ (m- r), where 
// m = |(length + 1)/2| and r random in interval 2 <= r < 15 
USHORT m = ((length + 1) >> 1) - 2 - usrandBBS 1 () % 13; 
key.p = findprime (m, PubExp); 


// determine interval bounds qmin and qmax for prime q 
// set qmin = |(2 ~ (length - 1))/p + 1] 
LINT qmin = LINT(O).setbit (length - 1)/key.p + 1; 
// set qmax = |(2 ^ length - 1)/p)| 
LINT qmax = (((LINT(0).setbit (length - 1) - 1) << 1) + 1)/key.p; 
// generate prime q > p with length qmin <= q <= qmax 
key.q = findprime (qmin, qmax, PubExp); 
// generate modulus mod = p*q such that 2 ^ (length - 1) <= mod < 2 ^ length 
key.mod = key.p * key.q; 
// calculate Euler phi function 
LINT phi_n = key.mod - key.p - key.q + 1; 
// generate public exponent if not specified in PubExp 
if (1 == PubExp) 
{ 
key.pubexp = randBBS (length/2) | 1; // half the length of the modulus 
while (gcd (key.pubexp, phi_n) != 1) 
{ 
++key.pubexp; 
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++key.pubexp; 
} 
} 
else 
{ 
key.pubexp = PubExp; 
} 


// generate secret exponent 
key.prvexp = key.pubexp.inv (phi_n); 


// generate secret components for rapid decryption 
key.ep = key.prvexp % (key.p - 1); 
key.eq = key.prvexp % (key.q - 1); 
key.r = inv (key.p, key.q); 
return testkey(); 
} 


// test function for RSA-key 
int RSAkey::testkey (void) 
{ 
LINT mess = randBBS (ld (key.mod) >> 1); 
return (mess == fastdecrypt (mexpkm (mess, key.pubexp, key.mod))); 
} 


// rapid RSA decryption 
LINT RSAkey::fastdecrypt (const LINT& mess) 
{ 

LINT m, w; 

m = mexpkm (mess, key.ep, key.p); 

w = mexpkm (mess, key.eq, key.q); 

w.msub (m, key.q); 

w = w.mmul (key.r, key.q) * key.p; 

return (w + m); 


} 


HAAN I 
// member functions of the class RSApub 


// constructor RSApub() 
RSApub: :RSApub (const RSAkey& k) 
{ 
pkey = k.export();// import public key from k 
} 


// RSA encryption 
LINT RSApub::crypt (const UCHAR* Mess, int LenMess) 
{ 
int LenEncryptionBlock = key.bytelen mod - 1; 
UCHAR* EncryptionBlock = new UCHAR[LenEncryptionBlock]; 


// format encryption block according to PKCS #1 
if (NULL == format_pkcs1 (EncryptionBlock, LenEncryptionBlock, 
BLOCKTYPE ENCR, Mess, (ULONG)LenMess) ) 
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{ 
delete [] EncryptionBlock; 


return LINT (0); // formatting error: message too long 
} 
// transform encryption block into LINT number (constructor 3) 
LINT m = LINT (EncryptionBlock, LenEncryptionBlock); 
delete [|] EncryptionBlock; 


return (mexpkm (m, pkey.pubexp, pkey.mod)); 
} 


// verification of RSA signature 
int RSApub::verify (const UCHAR* Mess, int LenMess, const LINT& Signature) 
{ 
int length, BlockType verification = 0; 
UCHAR m H1[RMDVER>>3] ; 
UCHAR* H2 = NULL; 
UCHAR* EB = lint2byte (mexpkm (Signature, pkey.pubexp, pkey.mod), &length); 
ripemd160 (H1 (UCHAR*)Mess, (ULONG)LenMess); 


// take data from decrypted PKCS #1 encryption block 
BlockType = parse pkcs1 (H2, EB, &length, pkey.bytelen mod); 


if ((BlockType == 0 || BlockType == 1) && // Block Type Signature 
(HashRes2 > NULL) && (length == (RMDVER >> 3))) 
{ 


verification = !memcmp ((char *)H1, (char *)H2, RMDVER >> 3); 


} 


return verification; 
} 
RSAkey 和 RSApub 的 类 实现 还 包括 下 列 运算 ， 在 此 不 做 过 多 描述 : 
RSAkey& operator= (const RSAkey&) ; 
friend int operator== (const RSAkey&, const RSAkey&) ; 
friend int operator!= (const RSAkey&, const RSAkey&) ; 
friend fstream& operator<< (fstream&, const RSAkey&) ; 
friend fstream& operator>> (fstream&, RSAkey&) ; 


以 及 
RSApub& operator= (const RSApub&) ; 
friend int operator== (const RSApub&, const RSApub&) ; 
friend int operator!= (const RSApub&, const RSApub&) ; 


friend fstream& operator<< (fstream&, const RSApub&) ; 
friend fstream& operator>> (fstream&, RSApub&) ; 


它们 用 于 元 素 分 配 、 检 验 相等 性 和 不 等 性 ， 并 从 主 存 中 读 或 写 密 钥 。 然 而 ， 必 须 注 意 
这 里 的 私 钥 元 素 与 公 钥 同样 以 明文 形式 存储 。 在 实际 应 用 中 ， 私 钥 必 须 以 加 密 形 式 存储 在 
安全 的 环境 中 。 

同样 还 有 其 他 成 员 函 数 


RSAkey: :purge (void), 
RSApub: :purge (void), 


它们 将 LINT 部 分 重 写 为 0， 以 删除 密 钥 。 按 照 PKCS#1 的 要 求 ， 用 于 加 密 或 签名 的 消息 
块 的 格式 化 由 下 面 这 个 函数 实现 
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UCHAR* format_pkcs1 (const UCHAR* EB, int LenEB， 
UCHAR BlockType, const UCHAR* Data, int LenData); 


用 于 解密 消息 块 的 格式 验证 和 从 中 提取 有 用 数据 的 函数 为 

int parse pkcs1 (UCHAR*& PayLoad, const UCHAR* EB, int* LenData); 

类 RSAkey 和 RSApub 可 以 朝 某 些 方 面 扩 展 。 例 如 ， 可 以 创造 一 个 构造 函数 ， 它 接受 
一 个 公 钥 参数 ， 并 产生 一 个 合适 的 模 和 私 钥 。 在 实际 实现 中 ， 还 必须 加 入 散 列 函数 。 同 时 
消息 分 块 也 是 必需 的 。 值 的 扩展 的 名 单 还 很 长 ， 全 部 考虑 将 超出 本 书 的 范围 。 

FLINT/C 包 的 模块 rsademo. cpp 中 包含 了 类 RSAkey 和 类 RSApub 的 应 用 测试 用 例 ， 
该 程序 可 以 由 以 下 命令 编译 : 

gcc -02 -DFLINT_ASM -o rsademo rsademo.cpp rsakey.cpp 


flintpp.cpp randompp.cpp flint.c aes.c ripemd.c sha256.c entropy.c random.c 
-lflint -lstdc++ 


为 了 实现 ， 可 利用 Linux 下 的 GNU C/C++ 编译 器 gcc 和 1ibflint. a 中 的 汇编 
PR BX 
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90% 的 时 间 花 在 了 10% 的 代码 上 。 
—— Robert Sedgewick, K Algorithms) 


我 们 已 经 在 第 13 章 围绕 这 一 主题 进行 了 讨论 ,我们 将 本 书 第 一 部 分 的 基本 运算 孔 数 
扩展 到 多 个 静态 和 动态 测试 中 。 现 在 ,我 们 需要 对 C++ 类 LINT 的 有 效 性 做 相似 的 处 理 ， 
我 们 仍然 需要 对 数论 C 孔 数 进行 测试 。 

静态 检测 方法 可 以 直接 应 用 于 LINT 类 ， 用 于 C 函数 静态 分 析 的 工具 PC-lint (参见 
[Gimpj) 对 我 们 十 分 适用 ， 因 此 我 们 可 以 利用 它 测 试 LINT 类 及 其 基本 单元 的 语法 正确 性 
和 ( 某 个 限度 内 的 ) 语 义 合理 性 。 

我 们 同样 对 类 实现 的 函数 功能 方面 感 兴趣 : 我 们 必须 证 明 LINT 中 的 函数 方法 能 返回 
正确 的 结果 。 前 面 利 用 结果 的 等 价 性 或 互 逆 性 来 建立 恒等式 的 过 程 当 然 也 可 以 运用 到 
C++ 图 数 中 。 在 下 面 的 例子 中 ， 这 一 过 程 乱 人 在 函数 testdist () 中 ， 它 通过 分 配 律 把 加 
法 和 乘法 联系 起 来 。 在 此 ， 可 以 看 出 与 C 的 检测 函数 相 比 ， 其 语法 复杂 度 降 低 了 许多 。 测 
试 函数 主 要 由 两 行 代码 组 成 ! 

#include <stdio.h> 


#include <stdlib.h> 
#include "flintpp.h" 


void report_error (LINT&, LINT&, LINT&, int); 
void testdist (int); 


#define MAXTESTLEN CLINTMAXBIT 
#define CLINTRNDLN (ulrand64 1()% (MAXTESTLEN + 1)) 
main() 
{ 
testdist (1000000) ; 
} 
void testdist (int nooftests) 
{ 
LINT a; 
LINT b; 
LINT cC; 
int i; 
for (i = 1; i < nooftests; i++) 
{ 
a = randl (CLINTRNDLN); 
b = randl (CLINTRNDLN); 
c = randl (CLINTRNDLN); 


// test of + and * by application of the distributive law 
if ((a + b)*c != (a*c + b*c)) 


264 第 二 部 分 HR: C++ 实现 与 LINT 类 


report error (a, b, c, _LINE ); 
} 

} 
void report error (LINT& a, LINT& b, LINT& c, int line) 
{ 

LINT d = (a + b) * c; 

LINT @=a*c+b* es 

cerr << “error in distributive law before line " << line << endl; 


cerr << "a=" << a << endl; 

cerr << "b=" << b << endl; 

cerr << "(a +b) *c =" << d << endl; 
cerr << "a*c+b* c=" << e << endl; 
abort(); 


} 
我 们 现在 留 一 个 练习 给 读者 : 用 上 述 相 同方 式 对 LINT 运算 符 做 测试 。 为 了 适应 相应 
的 情况 ， 可 以 参考 C 图 数 的 一 些 测试 例 程 。 然 而 ， 也 要 考虑 一 些 新 的 方面 ， 比 如 前 缀 和 后 
级 运算 符 ++ 和 一 一 ， 以 及 三 三 都 需要 测试 。 这 是 一 些 附 加 的 要 求 : 
@ 使 用 或 不 使 用 异常 来 测试 错误 例 程 panic () 所 定义 的 所 有 错误 情况 。 
e 测试 1/O 函数 、 流 操作 和 操作 符 。 
o 测试 算术 和 数论 郴 数 。 
数论 函数 可 以 按照 与 算术 函数 相同 的 原则 进行 测试 。 为 检验 被 测试 的 函数 ， 可 以 利用 
道 函 数 、 等 价 函 数 或 者 同一 函数 的 不 同 实现 (尽量 与 男 一 个 函数 保持 独立 )。 对 上 述 每 一 个 
变 体 有 如 下 例子 : 
e 今 Jacobi 符号 表示 一 个 有 限 环 中 的 一 个 元 素 是 一 个 平方 数 ， 这 可 以 通过 计算 平方 根 
来 检验 。 相 反 ， 求 出 的 平方 根 可 以 通过 简单 的 模 平方 验证 。 
o 用 来 计算 整数 a 模 n WHA Wc. 的 函数 inv() 可 以 通过 等 式 ai=1modn 测试 。 
e 可 以 利用 两 个 FLINT/C 函数 gcd 1() 和 xgcd 1() 求 两 个 整数 的 最 大 公约 数 ， 其 
中 ， 后 者 返回 最 大 公约 数 的 线性 组 合 表示 。 两 个 结果 可 以 相互 比较 ， 从 而 建立 线性 
组 合 ， 该 线性 组 合 必须 等 于 最 大 公约 数 。 
© 在 最 大 公约 数 和 最 小 公 倍 数 之 间 的 关系 中 可 以 找到 元 余 : 对 于 整数 a 和 0， 有 等 式 
ab 
这 是 一 个 意义 重大 的 关系 式 ， 并 且 容 易 被 检验 。 关 于 最 大 公约 数 和 最 小 公 倍 数 的 其 
他 有 用 公式 请 参见 10. 1 节 。 
e 最 后 ，RSA 算法 可 以 考虑 引入 素性 检测 : WME p 或 者 g 不 是 素数 ， 那 么 pE 
一 1)(g 一 1)。RSA 算法 只 有 在 对 Pp 或 gq 的 Fermat 测试 证 明 p Ma 为 素数 时 才 成 立 。 
因此 某 些 可 逆 RSA 运算 以 及 已 解密 消息 与 原始 消息 的 对 比 运算 可 以 确定 素性 检验 
是 否 起 作用 。 
这 些 是 各 种 有 效 测试 LINT 函数 的 算法 。 读 者 应 该 对 每 个 LINT 函数 开发 实现 至 少 一 
种 这 样 的 测试 。 这 作为 一 种 测试 和 练习 是 非常 有 效 的 ， 可 以 有 效 提 高 读者 对 于 LINT 类 的 
工作 原理 和 适用 范围 的 熟悉 程度 。 


lcm(a ,Dp) = 
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尽管 我 们 现在 有 一 套 完整 的 成 体系 的 软件 包 ， 但 仍然 面临 着 这 样 的 问题 我 们 可 以 在 
哪些 方面 做 出 更 进一步 扩展 。 答 案 是 在 函数 的 功能 和 性 能 方面 仍 存在 可 扩展 的 可 能 性 。 

关于 功能 ， 可 以 想象 将 FLINT/C 中 的 基本 函数 应 用 到 已 涉及 甚至 未 涉及 的 领域 ， 例 
如 大 数 分 解 或 者 椭圆 曲线 ， 由 于 其 独 有 的 性 质 ， 大 家 将 其 应 用 到 密码 学 的 兴趣 也 越 来 越 
浓 。 感 兴趣 的 读者 可 以 在 LBres]、[ Kobl] 和 [Menej] 中 找到 详细 的 解释 ， 也 可 以 参阅 一 些 
标准 文献 LCohej]、LSchnj 和 LMOVj， 这 些 文献 我 们 在 本 书 中 经 常 引 用 ， 里 面 也 包含 一 些 
其 他 引用 的 文献 。 

开发 的 第 二 个 领域 是 提高 吞吐 量 ， 首 要 目标 是 将 位 数 从 16 位 提升 到 32 位 (B 王 2”)， 
以 及 使 用 汇编 明 数 并 支持 其 平台 上 的 C/C++ 实现 。 

对 后 一 种 方法 的 开发 和 检测 可 以 独立 于 平台 进行 ， 比 如 借助 GNU 编译 项 gcc， 利 用 
gcc 类 型 unsigned long long: 通过 typedef ULONG CLINT [CLINTMAXLONG]; 定义 的 
CLINT RH; 另外， 特定 篆 量 必须 根据 整数 内 部 表示 的 基 做 调整 。 

在 FLINT/C 包 的 肾 数 中 所 有 的 显 式 类 型 转换 和 其 他 涉及 的 USHORT 类 型 都 必须 用 
usingned long long 定义 的 ULONG( 或 经 过 合适 的 typedef 的 ULLONG) 代 震 。 一 些 假 设 所 
用 数据 类 型 长 度 的 函数 必须 改写 。 经 过 包含 静态 语法 检查 (参见 第 13 章 ) 的 广泛 测试 和 调 
试 过 程 后 ，FLINT/C 包 最 终 可 用 于 64 位 的 CPU. 

由 于 使 用 了 汇编 函数 ， 所 以 FLINT/C 包 图 数 能 处 理 32 位 的 数字 和 64 位 的 结 采 ， 这 
同样 适用 于 那些 算术 运算 只 能 处 理 32 位 字 但 支持 得 到 64 位 结果 的 处 理 需 。 

由 于 使 用 了 汇编 隐 数 ， 所 以 我 们 放弃 了 之 前 的 利用 特殊 平台 独立 性 的 策略 ， 在 罕 目 标 
范围 实现 这 样 的 图 数 是 非常 有 用 的 。 我 们 必须 验证 FLINT/C 函数 经 过 汇编 文 持 后 能 在 时 
间 上 获 利 最 大 。 确 定 这 样 的 函数 并 不 困难 ， 它 们 是 那些 具有 平方 运行 时 间 表 现 的 算法 也 
数 : HIE, 平方， 除法 。 这 些 基 本 算法 占据 了 大 多 数 数论 算法 函数 的 主要 运算 时 间 ， 在 不 
直接 改变 算法 实现 的 情况 下 ， 提 高 这 些 浮 数 的 运行 效率 是 线性 的 。 为 了 从 中 受益 ， 对 
FLINT/C 包 的 函数 

mult(), umul(), sqr(), div 1(), 

可 以 在 80x86 AY IL Sa FEF SC BL. PR mult (), umul () 和 sar () 分 别 是 mult_1 ()、 
umul 1() 和 sqr_1() MAK PRBS LSS 5 章 )。 这 些 函 数 支 持 长 度 达到 4096 位 的 参数 变 
量 ， 即 256( 二 MAXs) 位 的 CLINT 数 ， 同 时 也 文 持 两 倍 于 该 长 度 的 结果 。 与 对 应 的 C 函数 
相似 ， 汇 编 函 数 根 据 第 4 章 所 给 出 的 算法 实现 ， 这 里 对 CPU 寄存 器 的 存 取 允许 使 用 算术 
机 器 指令 处 理 32 位 参数 和 64 位 结果 (参见 第 2 章 )。 

FLINT/C 包 将 模块 mult. asm, mult. s, umul. asm, umul. s, sqr. asm, Sqr- S, 
div. asm 和 div. s 作为 汇编 源 代 码 。 可 以 通过 利用 Microsoft MASM( 调 用 : ml /cx /c / 
Gd < 文件 名 > )、Watcom 的 WASM 2 或 者 GNU、GAS 来 对 上 述 模块 进行 汇编 ， 当 模块 


O 根据 所 用 的 编译 器 ， 汇 编程 序 mul, umul, sqr 和 div 1 被 命名 为 带 下 划 线 的 (_mult、 _umul、_sqar 和 
div 1)， 因 为 WASM 并 不 产生 它们 。 
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flint. c 被 -DFLINT ASMO 编译 时 ， 它 们 可 以 代替 对 应 的 C 函数 。 相 应 的 计算 时 间 在 附录 
D 中 给 出 ， 它 可 以 直接 比较 一 些 重要 的 函数 在 有 或 者 没有 汇编 支持 的 计算 时 间 ，。 
Montgomery CA ME 6 章 ) 提 供 了 另外 的 节约 潜质 ， 同 时 两 个 辅助 函数 mulmon 1 () 和 
sqrmon 1 () (参见 第 6 章 ) 可 以 实现 处 理 32 位 数字 的 汇编 函 数 。 模 块 mul. asm 和 sqr. asm 
为 此 提供 了 一 个 开始 的 基础 。 对 于 感 兴 趣 的 读者 来 说 ， 这 里 面 有 很 多 挑战 等 着 他 。 
至 此 ， 这 此 是 所 有 我 们 所 知 的 。 


—— Jon Hiseman, 《 Colosseum) 


© ”通过 模块 mult. asm, sqr. asm, umul. asm 和 div. asm， 这 个 函数 可 以 在 80x86 的 兼容 平台 上 执行 。 对 于 其 
他 的 平台 ， 必 须 执 行 相应 的 其 他 实现 。 


| 第 三 部 分 


Cryptography in C and C++. Second Edition 


| 未 


附录 A | 


Cryptography in C and C++, Second Edition 


C K% A ae 





A. 1 输入 /输出 、 赋 值 、 转 换 和 比较 


int 将 一 个 字 节 数组 转换 为 CLINT 类 型 (IEEE，P1363，5. 5. 1 标准 ) 
byte2clint 1 (CLINT nl, 
char *bytes, int len); 


UCHAR* 将 CLINT 类 型 转换 为 一 个 字 节 数 组 (IEEE，P1363，5. 5. 1 标准 ) 
clint2byte 1 (CLINT nl, 
int *len); 
int 比较 a 1 和 b 1 的 长 度 
cmp 1 (CLINT a 1, CLINT b 1); 
int 将 src 1 的 值 赋 给 dest 1 
cpy 1 (CLINT dest 1, CLINT src 1); 
int 检测 a 1 与 b 1 是否 相等 
equ 1 (CLINT a 1, CLINT b 1); 
void 交换 a 1 与 b 1 
fswap 1 (CLINT a 1, CLINT b 1); 
clint* 将 n 1 设置 为 Naax 所 表示 的 最 大 CLINT 类 型 整数 
setmax 1 (CLINT n 1); 
int 将 一 个 字符 串 转换 为 以 b 为 基数 的 CLINT 类 型 


str2clint 1 (CLINT n_l, 
char *N, USHORT b); 


void 将 USHORT 类 型 转换 为 CLINT 类 型 
u2clint 1 (CLINT num 1, USHORT ul); 
void 将 ULONG 类 型 转换 为 CLINT 类 型 
ul2clint 1 (CLINT num_1, ULONG ul); 
unsigned int CLINT 类 型 格式 检验 
vcheck 1 (CLINT n 1); 
char* 以 字符 串 形式 输出 FLINT/C 库 的 版 本 ， 其 中 标识 符 “a’ 表 示 支 
verstr 1 (); 持 汇编 程序 ,，“s’ 表 示 FLINT/C 安全 模式 。 
char* 将 CLINT 类 型 转换 为 以 base 为 基数 的 字符 串 ， 可 带 或 不 带 
xclint2str_1 (CLINT n_l, Fill AR 
USHORT base, int showbase); 
A.2 基本 运算 
int 加 法 : 计算 a1 和 hb 1 的 和 ， 并 在 s 1 中 输出 


add 1 (CLINT a l, CLINT b 1, 
CLINT s_1) 


Int 

dec 1 (CLINT a_l) 

int 

div 1 (CLINT a 1, CLINT b 1, 
CLINT q 1, CLINT r 1) 

int 

ine l (CLINT a_1) 

int 

mul 1 (CLINT a_l, CLINT bl, 
CLINT p 1) 

int 

sqr 1 (CLINT a 1, CLINT p 1) 


int 

sub 1 (CLINT a 1, CLINT b 1, 
CLINT s 1) 

int 

uadd 1 (CLINT a 1, USHORT b, 
CLINT s 1) 

int 

udiv 1 (CLINT a 1, USHORT b, 
CLINT q_1, CLINT r 1) 

int 

umul 1 (CLINT a 1, USHORT b, 
CLINT p 1) 

int 

usub 1 (CLINT a 1, USHORT b, 
CLINT c_1) 


A.3 RAR 


int 

madd 1 (CLINT a 1, CLINT b 1, 
CLINT c_ 1, CLINT m 1); 

int 

mequ 1 (CLINT a 1, CLINT b 1, 
CLINT m 1); 

int 

mexp_1 (CLINT bas 1, CLINT e 1, 
CLINT p 1,CLINT m 1); 

int 

mexp2_1 (CLINT bas 1，USHORT e, 
CLINT p_ 1, CLINT m 1); 


int 


mexp5 1 (CLINT bas_1, CLINT exp 1, 


CLINT p_1,CLINT m 1); 
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a l Aw 


带 余 除法 ， 用 a 1 除 以 b 1， 商 存储 在 q_ 1 中 ,余数 存储 在 = 1 中 


a lA 


乘法 : al5b 1 相 乘 ,结果 在 p_ 1 中 输出 


计算 a_1 的 平方 ， 结 果 在 pl 中 输出 


减法 : 计算 a 1 减 b 1 的 差 值 ， 结 果 在 s 1 中 输出 


混合 加 法 : +H al DMA, SRE s 1 中 输出 


混合 带 余 除法 : 用 a 1 除 以 b， 商 存储 在 q_1l 中， 余数 存储 在 


r 1 


混合 乘法 : a_1 bR, BRE p_1 中 输出 


带 模 加 法 : a 1 加 上 b 1 模 m 1， 结果 在 c 1 中 输出 


检测 a 1 和 b 1 是否 对 m 1 同 余 


RE, WIR Be AF. W A HI mexpkm 1()， 否则 调用 


mexpk 1() 


RH. TBH 2 WH 


Bite, 2° 进 制 方法 
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int Montgomery RAF, 使 用 2° 进 制 方法 ， 模 数 为 奇数 
mexp5m 1 (CLINT bas 1, CLINT exp_l, 

CLINT p 1, CLINT m 1); 
int ER. 2 进 制 方法 ， 使 用 malloc () HAS} ACW FF 
mexpk_1 (CLINT bas 1, CLINT exp 1, 

CLINT p 1, CLINT m 1); 
int Montgomery KF. EJH 2° 进 制 方法 ， 模 数 为 奇数 
mexpkm 1 (CLINT bas 1, CLINT exp 1, 

CLINT p 1, CLINT m 1); 
int 模 乘 : a 1 RU dD 1 模 m 1， 结 果 在 c 1 中 输出 
mmul_1 (CLINT a 1，CLINT b 1, 

CLINT c_l, CLINT m1); 


int 对 a_1 进行 模 n 1 约 简 ， 输出 于 r 1 
mod 1 (CLINT d 1, CLINT nl, 
CLINT r 1); 
int XY a 1# 2* 约 简 
mod2 1 (CLINT d 1, ULONG k, 
CLINT rl); 
int a lM FAR n l, RAFF pl 
msqr_1 (CLINT a 1l, CLINT c 1, 
CLINT m 1); 
int 带 模 除 法 : a 1 除 以 b 1 模 m 1， 结 果 输 出 于 c 1 


msub 1 (CLINT a 1, CLINT b 1, 

CLINT c 1, CLINT m 1); 
void a 工 乘 以 b 1 模 n 1 的 模 乘 ,积存 于 p_ 1 中 (使 用 Montgomery 
mulmon 1 (CLINT a 1, CLINT b 1, Fits BOP Zn 1< Bhar) 

CLINT n_1, USHORT nprime, 

USHORT log B r, CLINT p 1); 
void 
sqrmon 1 (CLINT a 1, CLINT nl, 

USHORT nprime, USHORT logB r, 

CLINT p 1); 
int 混合 带 模 加 法 : a 1 加 b 1 模 m 1， 输 出 存 于 c 1 
umadd 1 (CLINT a 1，USHORT b, 

CLINT ¢ l, CLINT m1); 
int (RFE. EROJ USHORT K 
umexp 1 (CLINT bas 1, USHORT e, 

CLINT p 1, CLINT m 1); 
int Re. BMA ATM. AWA USHORT 类 型 
umexpm 1 (CLINT bas 1, USHORT e, 

CLINT p 1, CLINT m 1); 
int 混合 模 乘 ，a_ 1 乘 b 1 模 m 1， 积存 于 P 1 中 
ummul 1 (CLINT a 1, USHORT b, 

CLINT p 1, CLINT m1); 
USHORT 对 d_1 进行 模 n 约 简 
umod 1 (CLINT d 1, USHORT n); 
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int 混合 带 模 减法 : a 1 减 去 b 1 模 m 1， 输 出 存 于 cl 
umsub 1 (CLINT a 1, USHORT b, 

CLINT c_1, CLINT m1); 
int MAE, JRA USHORT 类 型 
wmexp 1 (USHORT bas, CLINT e 1, 

CLINT p 1, CLINT m 1); 
int Montgomery Ki, MAMA ARM. JRA USHORT 类 型 
wmexpm 1 (USHORT bas, CLINT e 1, 

CLINT p 1, CLINT m1); 


A.4 位 运算 
void a lib 1 按 位 与 ， 结 果 在 c 1 中 输出 
and 1 (CLINT a 1, CLINT b 1, 
CLINT c 1) 
int 检测 并 清除 a 1 中 pos 位 置 上 的 值 


clearbit 1 (CLINT al, 
unsigned int pos) 


void a 1 和 b 1 按 位 或 ， 结 果 在 c_1 中 输出 
or 1 (CLINT a 1, CLINT b 1, 

CLINT c_1) 
int 检测 并 设置 a 1 中 pos 位 置 上 的 值 


setbit 1 (CLINT a 1, 

unsigned int pos) 
int 将 a 工 左 移 / 右 移 noofbits 位 
shift 1 (CLINT a 1， 

long int noofbits) 


int alae 1 fi 

shl 1 (CLINT a 1) 

int 将 a_l 左 移 1 位 

shr 上 《ELIRT a 1) 

int 检测 a_1 在 位 置 pos 上 的 值 


testbit 1 (CLINT a 1, 
unsigned int pos) 


void a_1l 和 了 b 1 的 按 位 异 或 (XOR)， 结 果 输 出 于 c 1 
xor l (CLINT a 1, CLINT b 1, 
CLINT c_1) 
A.5 数论 函数 
int 线性 同 余 组 的 解 ， 结 果 在 x_1 中 输出 


chinrem 1 (unsigned noofeq， 

clint** coeff 1, CLINT x .1) 
void alMbilMmKAAT. 在 g 1 中 输出 
gcd 1 (CLINT a_1, CLINT b 1, 

CLINT g 1) 


int a 1 的 b 次 根 的 整数 部 分 ， 结果 在 r 1 中 输出 
introot 1 (CLINT a 1, USHORT 
b, CLINT r 1) 
void 求 a 1 和 n 1 的 最 大 公约 数 ,， 以 及 a 1 模 n 1 的 逆 
inv_1 (CLINT a 1, CLINT nl, 

CLINT g 1, CLINT i_1) 
unsigned a_1 的 平方 根 的 整数 部 分 ， 结 果 在 = 1 中 输出 
iroot 1 (CLINT a 1, CLINT r 1) 


int a 1 对 b 1A) Legendre/Jacobi 符号 
jacobi 1 (CLINT a 1, CLINT b 1) 


void a_l 和 b _l 的 最 小 公 倍 数 ， 结 果 在 v_1 中 输出 
lem 1 (CLINT a_l; CLINT b 1, 

CLINT v 1) 
int prime 1 (CLINT n_l, 对 n 1 进行 带 分 第 的 Miller-Rabin 素性 测试 


unsigned noofsmallprimes, 

unsigned iterations) 
int 确定 一 个 模 n 的 原 根 ， 结 果 在 x_1 中 输出 
primroot 1 (CLINT x 1, 

unsigned noofprimes, 

clint** primes 1) 


int a 1 模 p 1 的 平方 根 ， 结 果 在 x 1 中 输出 
proot 1 (CLINT a 1, CLINT p 1, 

CLINT x 1) 
int a lip l*q 1l 的 平方根， 结果 在 x 1 中 输出 


root_l] (CLINT a_l, CLINT pl, 
CLINT q 1, CLINT x 1) 


USHORT 除法 分 第， 用 a_1 除 以 小 素数 
Sieve 1 (CLINT a 1l, 
unsigned noofsmallprimes) 


void a_1 与 b_1 的 最 大 公约 数 ， 并 分 别 以 符号 sign u 和 sign v 将 
xgcd 1 (CLINT a 1, CLINT b 1, gcd 表 示 在 ul 和 v1 中 

CLINT g 1, 

CLINT u_l, int *sign u, 

CLINT v 1, int *sign v) 


A.6 伪 随 机 数 的 生成 


UCHAR 生成 UCHAR 类 型 的 伪 随 机 数 
bRand 1 (STATEPRNG *xrstate) 


UCHAR 使 用 BBS 发 生 器 生成 UCHAR 类 型 的 伪 随 机 数 
bRandBBS 1 (STATEBBS *xrstate) 


int 确定 一 个 CLINT 类 型 的 伪 随机 素数 p_ 1， 使 得 2-'<p 1<2! 
FindPrime 1 (CLINT p 1, 
STATEPRNG *xrstate, USHORT 1) 


int 

FindPrimeGcd 1 (CLINT p 1, 
STATEPRNG *xrstate, 
USHORT 1, CLINT f 1) 

int 

FindPrimeMinMaxGcd 1 (CLINT p 1, 
STATEPRNG *xrstate, 
CLINT rmin 1, 
CLINT rmax 1, CLINT f_1) 

int 

GetEntropy 1 (CLINT Seed 1, 
char *Hashres,int AddEntropy, 
char *RndStr, int LenRndStr) 

int 

InitRand 1 (STATEPRNG *xrstate, 
char *UsrStr, int LenUsrStr, 
int AddEntropy, int Generator) 

int 

InitRandAES 1 (STATEAES *rstate, 
char *UsrStr, int LenUsrStr, 
int AddEntropy) 

int 

InitRandBBS 1 (STATEBBS *rstate, 
char *UsrStr, int LenUsrStr, 
int AddEntropy) 

int 

InitRandRMDSHA1 1 ( 
STATERMDSHA1 *rstate, 
char * UsrStr, int LenUsrStr, 
int AddEntropy) 


ULONG 1Rand 1 (STATEPRNG *xrstate) 


void PurgeRand 1 (STATEPRNG *xrstate) 
void PurgeRandAES 1 (STATEAES *rstate) 
void PurgeRandBBS 1 (STATEBBS *rstate) 


void 
PurgeRandRMDSHA1 1 (STATERMDSHA1 

*rstate) 
int 
Rand 1 (CLINT r 1, 

STATEPRNG *xrstate, int 1) 
void rand 1 (CLINT r 1l, int 1) 
clint* rand64_1 (void) 
int 
RandAES 1 (CLINT r 1, 

STATEAES *rstate, int 1) 
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确定 一 个 CLINT 类 型 的 伪 随 机 素数 p_1， 使 得 2'<p_1<2' 且 
gcd(p 1- 1,£ 1) 一 ] 


确定 一 个 CLINT 类 型 的 伪 随 机 素数 p 1， 使 得 rmin 1<p 1< 
rmax 1H gcd(p 1- 1,f 1)=1 


A W hes AE Da BL AE Ae AEH 


WRAAE — A A RHE E BL A AER JHE at 


初始 化 AES pi OL Rt AC E AE FF AE i Ai 


初始 化 Blum-Blum-Shub HLACE Æ BE. JÆ M R 


初始 化 RandRMDSHA-1 pii HLK E Æ a H E aR 


ULONG 类 型 的 随机 数 发 生 器 

删除 伪 随 机 数 发 生 器 的 内 部 状态 

删除 伪 随 机 数 发 生 器 RandAES 的 内 部 状态 

删除 伪 随 机 数 发 生 器 RandBBS 的 内 部 状态 

删除 伪 随 机 数 发 生 器 RandRMDSHAI1 的 内 部 状态 


使 用 FLINT/C 伪 随 机 数 生 成 器 生成 CLINT 类 型 的 伪 随 机 数 
， 使 得 2° <r 1<2! 


= 


使 用 线性 同 余 生成 1 位 长 的 CLINT 类 型 随机 数 

64 位 随机 数 发 生 器 

通过 AES 随机 数 生 成 器 使 用 独立 三 态 缓冲 器 生成 长 为 1 位 的 
CLINT 类 型 随机 数 
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int 
RandBBS_1 (CLINT r 1, 

STATEBBS *rstate, int 1) 
clint* randBBS 1 (CLINT r 1l, int 1) 
int 
RandlMinMax 1 (CLINT r 1, 

STATEPRNG *xrstate, CLINT rmin 1, 
CLINT rmax_1) 


int 
RandRMDSHA1 1 (CLINT r 1, 
STATERMDSHA1 *rstate, int 1) 


int randbit_1 (void) 

clint* seed64 1 (CLINT seed 1) 

void seedBBS 1 (CLINT seed 1) 
USHORT SRand 1 (STATEPRNG *xrstate) 


int SwitchRandAES 1 (STATEAES *rstate) 
int SwitchRandBBS 1 (STATEBBS *rstate) 


int 

SwitchRandRMDSHA1 1 
(STATERMDSHA1 *rstate) 

UCHAR ucrand64 1 (void) 

UCHAR ucrandBBS 1 (void) 

ULONG ulrand64 1 (void) 

ULONG ulrandBBS 1 (void) 

clint* ulseed64 1 (ULONG seed) 

void ulseedBBS 1 (ULONG seed) 

USHORT usrand64 1 (void) 

USHORT usrandBBS 1 (void) 


A.7 寄存 器 管理 


clint* create 1 (void) 

int create reg 1 (void) 

void free 1 (CLINT n 1); 

void free reg 1 (void) 

clint* get reg 1 (unsigned int reg) 
void purge 1 (CLINT n 1) 

int purge reg 1 (unsigned int reg) 
int purgeall reg 1 (void) 

void 

set_noofregs 1 (unsigned int nregs) 


通过 BBS 随机 数 生成 器 使 用 独立 三 态 缓冲 器 生成 长 为 1 位 的 
CLINT 类 型 随机 数 


用 BBS 位 生成 器 产生 1 位 长 的 CLINT 型 随机 数 
确定 一 个 CLINT 类 型 随机 数 x 1， 使 得 rmin l<r 1 委 rmax 1 


通过 RMDSHAI1 随机 数 生 成 器 使 用 独立 三 态 缓冲 器 生成 长 为 1 
位 的 CLINT 类 型 随机 数 


BBS 位 生成 器 

用 CLINT 类 型 的 值 初始 化 rand64 1 1) 

用 CLINT 类 型 的 值 初始 化 randbit 1 1() 

生成 USHORT 类 型 的 伪 随 机 数 

基于 AES 的 确定 性 随机 数 生 成 器 

基于 BBS 的 确定 性 随机 数 生 成 器 

基于 散 列 函数 SHA-1 和 RIPEMD-160 的 确定 性 随机 数 生成 器 


生成 UCHAR 类 型 随机 数 

生成 UCHAR 类 型 随机 数 的 BBS 生成 器 
生成 ULONG 类 型 随机 数 

生成 ULONG 类 型 随机 数 的 BBS 生成 器 
用 ULONG 类 型 的 值 初始 化 rand64 1 1() 
用 ULONG 类 型 的 值 初始 化 randbit 1() 
生成 USHORT 类 型 随机 数 

生成 USHORT 类 型 随机 数 的 BBS 生成 器 


生成 一 个 CLINT 类 型 寄存 器 

生成 CLINT 类 型 寄存 器 库 

通过 覆盖 并 释放 内 存 来 清除 一 个 寄存 器 
通过 覆盖 并 释放 内 存 来 清除 所 有 寄存 器 库 
对 寄存 器 库 中 的 寄存 器 reg 生成 引用 
通过 和 覆盖， 清除 一 个 CLINT WR 

通过 覆盖 ， 清 除 寄 存 器 库 

通过 和 覆盖， 清除 寄存 器 库 中 所 有 寄存 器 
设置 寄存 器 的 数量 


B. 1 输入/ 输出， 转换， 比较 


LINT (void); 


LINT (const char* str, 
int base); 


LINT (const UCHAR* byte, 
int len); 

LINT (const char* str); 

LINT (const LINT&); 

LINT (signed int); 

LINT (signed long); 

LINT (unsigned char); 

LINT (USHORT); 

LINT (unsigned int); 

LINT (unsigned long); 

LINT (const CLINT); 

inline char* 

binstr (void) const; 

inline char* 

decstr (void) const; 

inline void 

disp (char* str); 


Static long 
flags (ostreamå s); 


static long 
flags (void); 
LINT& 

fswap (LINT& b); 


inline char* 
hexstr (void) const; 


UCHAR* 
lint2byte (int* len) const; 


char* 
lint2str (USHORT base, 
const int showbase = 0) const; 
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: 成 员 函 数 


构造 函数 1: 生成 一 个 未 初始 化 的 LINT 对 象 
构造 函数 2: 从 字符 串 数 字 构 造 基数 为 base 的 LINT 数字 


构造 函数 3: 从 字 节 数组 构造 基数 为 2 的 LINT 数字 ,按照 IEEE 


P1363 标准 ,低位 在 左 高 位 在 右 


构造 函数 4: 从 带 CcC 语 法 的 ASCII 码 字符 串 构 造 LINT 
构造 函数 5: 从 LINT 构造 LINT( 复 制 构造 ) 

构造 函数 6: 从 int 型 整数 构造 LINT 

构造 函数 7: 从 long 型 整数 构造 LINT 

构造 函数 8: 从 unsigned char 型 整数 构造 LINT 
构造 函数 9: 从 unsigned short 型 整数 构造 LINT 
构造 函数 10: 从 unsigned int 型 整数 构造 LINT 
构造 函数 11: 从 unsigned long 型 整数 构造 LINT 
构造 函数 12: 从 CLINT 型 整数 构造 LINT 

将 IINT 型 整数 表示 为 二 进 制 数字 


将 LINT 型 整数 表示 为 十 进 制 数字 

将 之 前 的 输出 str 用 LINT 整数 显示 

读 取 与 输出 流 s 关联 的 静态 LINT 状态 变量 

读 取 与 输出 流 cout 关联 的 静态 LINT 状态 变量 
交换 隐 式 参数 a 与 参数 b 

将 LINT 型 整数 表示 为 十 六 进 制 数字 


将 LINT 型 整数 转化 为 字 节 数组 ， 并 将 其 长 度 输出 在 len 中 。 按 


HA IEEE P1363 标准 低位 在 左 高 位 在 右 


将 LINT 型 整数 表示 为 基数 为 base 的 字符 串 ， 前 缀 为 ox BR Ob 如 


果 showbase> 0 
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inline char* 将 LINT 型 整数 用 八进制 表示 

octstr (void) const; 

const LINT& 分 配 ax-b 

operator = (const LINT& b); 

void 通过 重 写 清除 隐 式 参数 

purge (void); 

static long 参照 输出 流 cout 将 LINT 的 状态 变量 重 置 为 flags 中 的 值 
restoref (long int flags); 

static long 参照 astream s 将 LINT 状态 变量 设置 为 flags 中 的 值 


restoref (ostream& s, 
long int flags); 


static long 参照 astream cout 设置 LINT 状态 变量 中 flags 中 的 状态 位 
setf (long int flags); 

static long 参照 astream s 设置 LINT 状态 变量 中 flags 的 状态 位 

setf (ostream& s, long int flags); 

static long 参照 astream cout 复位 LINT 状态 变量 中 flags 的 状态 位 
unsetf (long int flags); 

static long 参照 astream s 设置 LINT 状态 变量 中 flags 的 状态 位 


unsetf (ostream& s, long int flags); 


B.2 输入 /输出 、 转 换 、 比 较 : 友 元 函数 


void 交换 a 和 bb 
fswap (LINT& a, LINT& b); 
UCHAR* 将 a 转换 为 字 节 数组 ， 其 长 度 在 len 中 输出 ， 按 照 IEEE 
lint2byte (const LINT& a, P1363 标准 ， 低 位 在 左 、 高 位 在 右 

int* len); 
char* 用 以 base 为 基数 的 字符 串 表示 a， 前 缀 为 0x 或 0b( 若 show- 
lint2str (const LINT& a, base> 0) 


USHORT base, 
int showbase); 


ostream& 二 进 制 形式 LINT 型 整数 的 ostream 操纵 器 

LintBin (ostream& s); 

ostream& 十 进 制 形 式 LINT 型 整数 的 ostream 操纵 器 

LintDec (ostream& s); 

ostream& 十 六 进 制 形式 LINT 型 整数 的 ostream 操纵 器 

LintHex (ostream& s); 

ostream& 使 用 小 写字 母 的 十 六 进 制 形式 LINT 型 整数 的 ostream 操纵 器 
LintLwr (ostream& s); 

ostream& 忽略 前 组 0x 或 Ob 的 十 六 进 制 或 二 进 制 形 式 LINT 型 整数 的 os- 
LintNobase (ostream& s); tream 操纵 器 

ostream& 忽略 输出 LINT 型 整数 的 二 进 制 长 度 的 操纵 器 


LintNolength (ostream& s); 


ostream& 
LintOct (ostream& s); 


ostream& 
LintShowbase (ostream& s); 


ostream& 
LintShowlength (ostream& s); 


ostream& 
LintUpr (ostream& s); 


const int 
operator != (const LINT& a, 
const LINT& b); 


const int 
operator < (const LINT& a, 
const LINT& b); 


fstream& 
operator << (fstream& s, 
const LINT& 1n); 


ofstream& 
operator << (ofstream& s, 
const LINT& 1n); 


ostream& 
operator << (ostream& s, 
const LINT& In); 


const int 
operator <= (const LINT& a, 
const LINT& b); 


const int 
operator == (const LINT& a, 
const LINT& b); 


const int 
operator > (const LINT& a, 
const LINT& b); 


const int 
operator >= (const LINT& a, 
const LINT& b); 


fstream& 
operator >> (fstream& s, 
LINT& ln); 


ifstream& 

operator >> (ifstream& s, 
LINT& 1n); 

void 

purge (LINT& a); 

LINT omanip<int> 

ResetLintFlags (int flag); 
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八进制 形式 LINT 型 整数 的 ostream 操纵 器 

显示 前 级 0x 或 Ob 的 十 六 进 制 形式 LINT 整数 的 ostream 操 
Y\ $e 

显示 输出 长 度 的 二 进 制 形式 LINT 整数 的 ostream 操纵 器 


使 用 大 写字 母 的 十 六 进 制 形式 LINT 型 整数 的 ostream 操纵 器 


检测 是 否 a! =b 


比较 a< b 


为 将 LINT 型 整数 写 入 文件 重 载 插 入 运算 符 ， 输 出 流 为 


fstream 型 


为 将 LINT 型 整数 写 入 文件 重 载 插入 运算 符 ， 输 出 流 为 


ofstream 型 


为 输出 LINT 整数 重 载 插 入 运算 符 ， 输 出 流 为 ostream 型 


比较 a<= b 
检测 a== b 
比较 a> b 

比较 a>= b 


为 从 文件 读 取 LINT 型 整数 重 载 提 取 运 算 符 ， 输 入 流 为 fstream 
类 型 


为 从 文件 读 取 LINT 型 整数 重 载 提 取 运 算 符 ， 输 入 流 为 ifstream 
类 型 


通过 重 写 清除 


重 置 LINT 状态 变量 中 flag 的 状态 位 的 操纵 器 


LINT omanip<int> 设置 LINT 状态 变量 中 flag 的 状态 位 的 操纵 器 
SetLintFlags (int flag); 


B. 3 基本 操作 :成 员 函 数 


const LINT& 加 法 c= a. add(b); 
add (const LINT& b); 


const LINT& 带 余 除法 quotient= dividend. div (divisor, remainder) ; 
divr (const LINT& d, LINT& r); 


const LINT& 乘法 c= a. mul (b); 
mul (const LINT& b); 

const LINT 自 减 操作 (后 缀 )a-- ; 
operator -- (int); 

const LINT& operator -- 自 减 操作 (前 缀 )-- a; 
(void) ; 

const LINT& 取 余 并 赋值 as = b; 
operator %= (const LINT& b); 

const LINT& 求 积 并 赋值 a* = b; 
operator *= (const LINT& b); 

const LINT& 求 商 并 赋值 a/= b; 
operator /= (const LINT& b); 

const LINT 自 增 操作 (后 缀 )a++ ; 
operator ++ (int); 

const LINT& 自 增 操作 (前 级 )++ a; 
operator ++ (void); 

const LINT& 求 和 并 赋值 a+ = b; 
operator += (const LINT& b); 

const LINT& 求 差 并 赋值 a- = b; 
operator -= (const LINT& b); 

const LINT& 求 平方 c= a. sqr (b); 
sqr (void); 

const LINT& 求 差 c= a. sub (b); 


sub (const LINT& b); 


B.4 基本 操作 : 友 元 函数 


const LINT 加 法 c= add(a,b); 
add (const LINT& a, const LINT& b); 


const LINT 带 余 除 法 quotient= div (dividend, divisor, remainder) ; 
divr (const LINT& a, 
const LINT& b, LINT& r); 


const LINT 乘法 c= mul (a,b); 
mul (const LINT& a, const LINT& b); 
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const LINT 减法 c= a- b; 
operator - (const LINT& a 
const LINT& b); 


w 


const LINT KA c= as b; 
operator % (const LINT& a, 
const LINT& b); 


const LINT FEY c= ax b; 
operator * (const LINT& a, 
const LINT& b); 


const LINT 除法 c= a/b; 
operator / (const LINT& a, 
const LINT& b); 


const LINT 加 法 c= a+ b; 
operator + (const LINT& a, 
const LINT& b); 


const LINT 平方 b= sqr (a); 
sqr (const LINT& a); 


const LINT 减法 c= sub(a,b); 
sub (const LINT& a, const LINT& b); 


B.5 模 算 术 : 成 员 函 数 


const LINT& 模 加 c= a. madd (b,m); 
madd (const LINT& b, const LINT& m); 
int a 与 b 模 ms 的 比较 ， 若 (a.meau (b,m) )…- 
mequ (LINT& b, const LINT& m) 
const; 
const LINT& 使 用 Montgomery 约 简 算法 的 模 寡 c= a. mexp(e,m);, Rm 
mexp (const LINT& e, const LINT& m); 为 奇数 
const LINT& 使 用 Montgomery 约 简 算法 的 模 寡 c= a. mexp (u,m)， 指 数 为 
mexp (USHORT u, const LINT& m); USHORT 类 型 HER m 为 奇数 
const LINT& 指数 为 2 RAE 2° WIR c= a. mexp2 (u,m); 
mexp2 (USHORT u, const LINT& m); 
const LINT& 使 用 Montgomery 约 简 算法 的 模 短 c= a. mexp5m (e,m);， 模 数 
mexp5m (const LINT& e, m 为 奇数 
const LINT& m); 
const LINT& 使 用 Montgomery 约 简 算法 的 模 每 c= a. mexpkm(e,m);, KER 
mexpkm (const LINT& e， m 为 奇数 
const LINT& m); 
const LINT& 模 乘 c= a. mmul (b,m) ; 


mmul (const LINT& b, 

const LINT& m); 
const LINT& 约 简 b= a. mod (m) ; 
mod (const LINT& m); 
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const LINT& 求 模 2 AYE 2° 的 剩余 b= a. mod (u); 
mod2 (USHORT u); 
const LINT& 模 平 方 c= a. msqr (m); 


msqr (const LINT& m); 


const LINT& 模 减 c= a. msub (b,m); 
msub (const LINT& b, const LINT& m); 


B. 6 模 算术 : 友 元 函数 


LINT 模 加 c= madd(a,b,m); 
madd (const LINT& a, 

const LINT& b, 

const LINT& m); 
int a 与 b 模 m 的 比较 ， 若 (mequ (a,b,m))… 
mequ (const LINT& a, 

const LINT& b, 

const LINT& m); 
LINT 使 用 Montgomery 约 简 算法 的 模 寡 c= mexp (a,e,m);， 模 数 m 
mexp (const LINT& a, 为 奇数 

const LINT& e， 

const LINT& m); 


LINT 使 用 Montgomery HR FUE NY RFE c= mexp(a,u,m);, Mx m 
mexp (const LINT& a, 为 奇数 ， 指 数 为 USHORT 型 

USHORT u, 

const LINT& m); 
LINT 使 用 Montgomery 约 简 算法 的 模 寡 c = mexp (u,e,m);， 模 数 m 
mexp (USHORT u, 为 奇数 ， 指 数 为 USHORT 型 


Const LINT& e， 
const LINT& m); 


LINT 指数 为 2 WIRE 2° EEE c = mexp2(a,u,m) 
mexp2 (const LINT& a, 
USHORT u, 
const LINT& m); 
LINT 使 用 Montgomery 约 简 算法 的 模 寡 c = mexp5m(a,e,m);. W 
mexp5m (const LINT& a, 数 m 为 奇数 


const LINT& e, 
const LINT& m); 


LINT 使 用 Montgomery 4 faj FYE I) HERE c = mexpkm(a,b,m);. $ 
mexpkm (const LINT& a, BL m 为 奇数 

const LINT& b, 

const LINT& m); 


LINT RFE c= mmul (a,b,m); 
mmul (const LINT& a, 

const LINT& b, 

const LINT& m); 
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LINT IRA b= mod(a,m); 
mod (const LINT& a, 
const LINT& m); 


LINT 求 模 2 WY FE 2" 的 剩余 b = mod2 (a,u); 
mod2 (const LINT& a, 

USHORT u); 
LINT 模 平 方 c = msqr (a,m); 


msqr (const LINT& a, 

const LINT& m); 
LINT 模 减 c = msub(a,b,m); 
msub (Const LINT& a， 

const LINT& b, 

const LINT& m); 


B.7 位 运算 :成 员 函 数 


const LINT& 清除 处 于 位 置 i 的 位 a. clearbit (i); 
clearbit (const unsigned int i); 


const LINT& 3K AND 并 赋值 a & b; 
operator &= (const LINT& b); 


const LINT& 5K XOR 并 赋值 a ^= b; 
operator “= (const LINT& b); 


const LINT& 求 OR 并 赋值 a |= b; 
operator |= (const LINT& b); 


const LINT& 左 移 并 赋值 a <<= i; 
operator <<= (int i); 


const LINT& 右 移 并 赋值 a >>= i; 
operator >>= (int i); 


const LINT& 在 位 置 i 设置 位 a. setbit (i); 
setbit (unsigned int i); 


const LINT& 移 位 ( 癌 左 或 右 )i 位 a. shift (i); 
shift (int i); 


const int 检测 位 置 i 的 位 a. testbit (i); 
testbit (unsigned int i) const; 


B. 8 位 运算 : 友 元 函数 


const LINT AND, c= a&b; 
operator & (const LINT& a, 

const LINT& b); 
const LINT XOR, c= a^b; 
operator ^ (const LINT& a, 

const LINT& b); 


const LINT 

operator | (const LINT& a, 
const LINT& b); 

const LINT 

operator << (const LINT& a, 
int i); 

const LINT 

operator >> (const LINT& a, 
int i); 

const LINT 

shift (const LINT& a, int i); 


B.9 数论 成 员 函 数 


LINT 
chinrem (const LINT& m, 
const LINT& b, 
const LINT& n) const; 
LINT 
gcd (const LINT& b); 


LINT 
introot (void) const; 


LINT 
introot (const USHORT b) 
const; 


LINT 
inv (const LINT& b) const; 


int 

iseven (void) const; 

int 

isodd (void) const; 

int 

isprime (int nsp = 302, 
int rnds = 0) const; 


LINT 

issqr (void) const; 

int 

jacobi (const LINT& b) const; 


LINT 
lcm (const LINT& b) const; 


unsigned int 
ld (void) const; 


LINT 
root (void) const; 


OR: c= a| bs 


移动 ( 癌 左 或 右 )i 位 ，b= shift (a,i) 


返回 同 余 方程 组 =a mod m 和 x=b mod n 的 解 x. WRAL LE 


返回 a 和 了 b 的 ged 
返回 a 的 b 次 根 的 整数 部 分 


返回 a 的 b 次 根 的 整数 部 分 


返回 a mod b 的 乘法 道 元 素 
检测 a 是 否 被 2 整除 : 若 a 为 偶数 则 为 真 
检测 a 是 否 被 2 整除 : 若 a 为 奇数 则 为 真 


素性 检测 


检测 a 是 否 是 平方 数 
返回 Jacobi 符号 (二 ) 
返回 a 和 ?的 最 小 公 售 数 
返回 | log, a | 


返回 a 的 平方 根 的 整数 部 分 


LINT 
root (const LINT& p) const; 


LINT 
root (const LINT& p, 
const LINT& q) const; 
int 
twofact (LINT& odd) const; 
LINT 
xgcd (const LINT& b, 
LINT& u, int& sign u, 
LINT& v, int& sign v) 
const; 


B.10 ”数论 友 元 函数 


LINT 
chinrem (unsigned noofeq， 
LINT** coeff); 


LINT 


extendprime (const LINT& pmin, 


const LINT& pmax, 
const LINT& a, 
const LINT q, 
const LINT& f); 


LINT 

extendprime (USHORT 1, 
const LINT& a, 
const LINT q, 
const LINT& f); 


LINT 

findprime (const LINT& pmin, 
const LINT& pmax, 
const LINT& f); 


LINT 
findprime (USHORT 1); 


LINT 

findprime (USHORT 1, 
const LINT& f); 

LINT 

gcd (const LINT& a, 
const LINT& b); 

LINT 

introot (const LINT& a); 


LINT 
introot (const LINT& a, 
const USHORT b); 
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返回 a 模 奇 素数 p 的 平方 根 的 整数 部 分 


返回 sa 模 px* gq 的 平方 根 ,p 和 9q 为 奇 素数 


返回 a AY AB}. odd 存储 a 的 奇数 部 分 


返回 a 和 b 的 ged WH JR Euclidean 算法 ，u 和 存储 线性 组 合 
g= sign u* u* a+ sign v* v* b 的 因子 的 绝对 值 


返回 联 立 同 余 式 方程 组 的 解 。 同 余 方程 组 含有 noofeq 个 方程 
式 x 三 a; mod mi ， 其 参数 al,ml,a2,m2,a3,m3… 由 指向 LINT WR 
的 指针 数组 coeff 传递 

返回 素数 p， 使 得 pmin<p—<pmax, p=amodq H. gcd (p- 1,f)= 
1, £ ATR 


返回 i 位 长 的 素数 p， 即 2>'<p< 2', 使 得 p=amodq H. ged 
(p- 1,f)= 1, £ 为 奇数 


返回 素数 bp， 使 得 pminSp< pmax, gcd (p- 1,f)= 1, £ W 
奇数 


返回 i 位 长 的 素数 p， 即 22- '<p< 2! 


返回 i 位 长 的 素数 p, B 2 1!<p< 2', H gced(p- 1,f)= 1, f 
为 奇数 


12 [E] a Al b AY ged 


返回 a 的 整数 部 分 


返回 a 的 b 次 根 的 整数 部 分 
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LINT 

inv (const LINT& a, 
const LINT& b); 

int 

iseven (const LINT& a); 

int 

isodd (const LINT& a); 

LINT 

inv (const LINT& a, 
const LINT& b); 

LINT 

issqr (const LINT& a); 

int 

jacobi (const LINT& a, 
const LINT& b); 


LINT 
lcm (const LINT& a, 
const LINT& b); 


unsigned int 
ld (const LINT& a); 


LINT 

nextprime (const LINT& a, 
const LINT& f); 

LINT 

primroot (unsigned noofprimes, 
LINT** primes); 

LINT 

root (const LINT& a); 


LINT 
root (const LINT& a, 
const LINT& p); 
LINT 
root (const LINT& a, 
const LINT& p, 
const LINT& q); 
LINT 
strongprime (const LINT& pmin, 
const LINT& pmax, 
const LINT& f); 
LINT 
strongprime (const LINT& pmin, 
const LINT& pmax, 
USHORT lt, 
USHORT lr, 
USHORT ls, 
const LINT& f); 


返回 a mod b AY He} Wire K 


检测 a 是否 能 被 2 整除 :a 为 奇数 时 为 真 
检测 a 是否 能 被 2 整除 :a 为 偶数 时 为 真 


p 的 素性 检测 


检测 a 是 否 为 平方 数 
返回 Jacobi 符号 (二 ) 


返回 a 和 5 的 最 小 公 倍数 


ik 回 | logz a | 


返回 大 于 a 的 最 小 素数 p， 满足 gcd (p- 1,f)= 1. FHA 


返回 模 p 的 原 根 。 变 量 noofprimes 传递 群 阶 p- 1 的 互 异 素数 因子 
的 个 数 。primes 传递 一 个 指向 LINT 对 象 的 指针 数组 ， 它 从 p- 1 开始 ， 
后 面 是 群 阶 p- 1= phi -epi 的 素数 因子 p, pks k= noofprimes 


返回 a 的 平方 根 的 整数 部 分 


返回 a 模 奇 素 数 p 的 平方 根 


返回 a 模 p* q 的 平方 根 ，p 和 a 是 奇 素数 


返回 强 素 数 bp， 使 得 pmin<p<pmax, gced(p- 1,f)= 1，f 为 
FA. p- 1 的 素数 因子 +、r- 1 的 素数 因子 t、p+ 1 的 素数 因子 s 


的 默认 长 度 为 :1t ZF ls~lr SAAD pmin 的 二 进 制 长 度 

返回 强 素 数 p， 使 得 pmin<p<pmax. gced(p- 1,f)=1, £H 
奇数 。1lr、1t、ls 分 别 是 p- 1、r- 1 和 p+ 1 的 素数 因子 r.t.s 的 
长 度 
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LINT 返回 1 位 长 的 强 素数 p， 即 2 '<p< 2 
strongprime (USHORT 1); 
LINT 返回 于 位 长 的 强 素数 pP?» 即 21- '<p< a 满足 gcd(p- 1,f)= 
strongprime (USHORT 1, 1, £ HR 
const LINT& f); 
LINT 返回 1 位 长 的 强 素 数 Pp， 即 2-'<p< 21, WE gcd(p- 1,f£)= 
strongprime (USHORT 1, 1，f 为 奇数 ， it 志士 ， lsir 志士 倍 的 的 长 度 
USHORT lt, 
USHORT lr, 
USHORT ls, 
LINT& f); 
int ” ”返回 a 的 偶数 部 分 ，odd 存储 a 的 奇数 部 分 


twofact (const LINT& even, 

LINT& odd); 
LINT 扩展 Euclidean 算法 ， 返 回 a 和 b 的 gcda。u 和 存储 了 线性 组 
xgcd (const LINT& a, @ g= sign u* u* a+ sign _v* v* b 的 因子 的 绝对 值 

const LINT& b, 

LINT& u, int& sign u, 

LINT& v, int& sign v); 


B.11 伪 随 机 数 生 成 


LINT 返回 LINT 型 随机 数 =， 使 得 rmin< r< rmax 
randBBS (const LINT& rmin, 
const LINT& rmax); 


LINT 返回 1 位 长 的 LINT 型 随机 数 
randBBS (int 1); 
LINT 返回 LINT 型 随机 数 r， 使 得 rmin<r<rmax 


randl (const LINT& rmin, 
const LINT& rmax); 


LINT 返回 1 位 长 的 LINT 型 随机 数 

randl (const int 1); 

int 初始 化 BBS 随机 数 生 成 器 ， 初 始 值 为 seed 

seedBBS (const LINT& seed); 

void 初始 化 基于 线性 同 余 的 64 位 随机 数 生 成 器 ， 初 始 值 为 seed 


seedl (const LINT& seed); 


B. 12 其 他 函数 


LINT_ERRORS 请 求 LINT 对 象 的 错误 状态 
Get Warning Status (void); 


static void 激活 用 户 程 序 处 理 LINT 运算 的 错误 。 用 已 注册 的 程序 代替 
Set LINT Error Handler LINT 标准 错误 处 理 器 panic (); 撤销 用 户 程序 的 注册 ， 并 同时 通 
(void (*)(LINT_ERRORS err, 过 调用 Set_LINT Error Handler (NULL) 重 新 激活 panic() BF 


const char*, int, int)); 


附录 C | 


Cryptography in C and C++,Second Edition 


安 


C. 1 错误 代码 和 状态 值 


E_CLINT_DBZ 
E_CLINT OFL 
E_CLINT_UFL 
E CLINT MAL 
E CLINT NOR 
E CLINT BOR 
E CLINT MOD 
E CLINT NPT 
E VCHECK_OFL 
E VCHECK LDZ 
E_VCHECK MEM 


C.2 其 他 常数 


BASE 
BASEMINONE 
DBASEMINONE 
BASEDIV2 
NOOFREGS 
BITPERDGT 
LDBITPERDGT 
CLINTMAXDIGIT 
CLINTMAXSHORT 
CLINTMAXBYTE 
CLINTMAXBIT 
TO. Dig. carey, BAR ob 


FLINT_VERMAJ 
FLINT VERMIN 
FLINT VERSION 


FLINT SECURE 


0x10000 
OxffffU 

OxffffffffUL 
Ox8000U 

16U 

16UL 

4U 

256U 

(CLINTMAXDIGIT + 1) 
(CLINTMAXSHORT << 1) 
(CLINTMAXDIGIT << 4) 


get reg 1(0), ..., 
get_reg 1(15) 


((FLINT_VERMAJ << 8) 
+ FLINT VERMIN) 


0x73, O 


上 洲 

Fik 

内 存 分 配 错误 

寄存 器 不 可 用 
str2clint 1() 中 基数 不 合法 
Montgomery 约 简 算法 中 模 数 为 侦 
将 空 指 针 作 为 参数 传递 
vcheck 1 () 警 告 : 数字 过 长 
vcheck 1 () 警 告 : MFF 
vcheck 1 () 错 误 : 空 指针 


CLINT 数字 格式 的 基数 B 一 25 
B—I 

一 

| B/2 | 

寄存 器 库 中 寄存 器 的 标准 编号 
每 个 CLINT 数字 包含 的 二 进 制 位 数 
以 2 为 底 的 BITPERDGT 的 对 数 
CLINT 对 象 以 B 为 基数 的 最 大 位 数 
为 CLINT 对 象 分 配 的 USHORT 的 个 数 
为 CLINT 对 象 分 配 的 字 节 数 
CLINT 对 象 包含 的 最 大 二 进 制 位 数 
CLINT 寄存 器 1,… ,15 的 指针 


FLINT/C 库 的 高 版 本 号 
FLINT/C 库 的 低 版 本 号 
FLINT/C 库 的 版 本 号 


FLINT/C 安全 模式 的 标识 符 “s’ 或 “? 


C.3 市 参数 的 安 


ANDMAX L (a 1) SETDIGITS L((a 1), 
(MIN(DIGITS L(a 1), 
(USHORT)CLINTMAXDIGIT) ) ; 
RMLDZRS L((a 1)) 


ASSIGN L cpy 1((a 1), (b 1)) 

(a l, b1) 
BINSTR_L (n_1) xclint2str 1((n_1), 2, 0) 
bRandAES L (S) ((UCHAR)SwitchRandAES 1((S)) 
bRandRMDSHA1_L (S) ((UCHAR)SwitchRandAES 1((S)) 


clint2str 1 xclint2str_1((n_1), (base) ,0) 
(n_1, base) 

CLINT2STR_L 
(n 1, base) 


DECDIGITS L(n_1) (--*(n 1)) 
DECSTR_L (n) xclint2str_ 1((n), 10, 0) 
DIGITS L (n_1) (*(n_1)) 
DISP L (S, A) printf("%s%s\n%u bit\n\n", 
(S), HEXSTR_L(A), ld 1(A)) 
EQONE L (a_1) (equ 1((a 1), one 1) == 1) 
EQZ L (a 1) (equ_1((a_1), nul 1) == 1) 
GE _L(al, b1) (cmp 1((a_1), (b_1)) > -1) 
GT_L (al, b 1) (cmp_1((a_l), (b 1)) == 1) 
GTZ_L (a_1) (cmp_1((a_1), nul 1) == 1) 
HEXSTR_L (n_1) xclint2str_1C(n_1), 26, 0) 
INCDIGITS L (n 1) (++*(n 1)) 


INITRAND64 LT() seed64 1((unsigned long) 
time(NULL) 


INITRANDBBS LT() seedBBS 1((unsigned long) 
time(NULL)) 


ISEVEN L (n 1) (DIGITS L(n 1) == 0 || 
(DIGITS L(n 1) > 0 && 
(*(LSDPTR L(n_1)) & 1U) 


== 0)) 

ISODD L (n_1) (DIGITS L(n_1) > 0 8& 
(*(LSDPTR_L(n_1)) & 1U) 
sa 1) 


ISPRIME L(n_1) prime _1((n_1), 302, 5) 
LE E (a_l; b1) (cmp 1((a_1), (b 1)) < 1) 
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模 (Nmox 十 1) 的 约 简 


赋值 a 1<-b 1 


将 CLINT 对 象 转换 成 二 进 制 形式 
生成 UCHAR 类 型 的 随机 数 

生成 UCHAR 类 型 的 随机 数 

将 CLINT 对 象 表示 为 无 前 绥 的 字符 串 


位 数 减 1 

将 CLINT 对 象 转化 为 十 进 制 形式 
读 取 n_1 以 B 为 基数 的 位 数 
CLINT 对 象 的 标准 输出 


比较 a l== 1 

比较 a 1==0 

比较 a 1i1 宇 bl 

比较 a l> bil 

比较 a1l1> 0 

将 CLINT 对 象 转化 为 十 六 进 制 形式 
位 数 增加 1 


用 系统 时 钟 初始 化 随机 数 发 生 器 rand64 1 1() 


287 


通过 系统 时 钟 初始 化 随机 比特 发 生 器 randbit 1 1() 


检测 nl 是 否 是 偶数 


检测 n 是 否 是 奇数 


使 用 固定 参数 的 素性 检测 


比较 a_ 1b 1 
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lRandAES 1 (S) = (((ULONG)\ sa aia 

SwitchRandAES 1((S))\ 

<< 24) | ((ULONG)\ 

SwitchRandAES 1((S))\ 

<< 16) | ( (ULONG) \ 

SwitchRandAES 1((S))\ 

<< 8) |((ULONG)\ 

SwitchRandAES 1((S))) 


1RandRMDSHA1_1 (S) (((ULONG) \ EIR GELONG SOUR 

SwitchRandRMDSHA1 1((S))\ 

<< 24) | ((ULONG)\ 

SwitchRandRMDSHA1 1((S))\ 

<< 16) | ((ULONG)\ 

SwitchRandRMDSHA1_1((S))\ 

<< 8) | ((ULONG)\ 

SwitchRandRMDSHA1 1((S))) 


LSDPTR_L (n_1) ((n_1) + 1) CLINT 对 象 的 最 低 有 效 位 的 指针 
LT_t ta 1, 6.2) (cmp_1((a_1), (b 1)) == -1) 比较 a 1l< b 1 
MAX L (a_l, b 1) (GT_L((a_1), (b_1)) ? (al): 两 个 cLINT 值 的 最 大 值 
(b_1)) 
MEXP_L (a 1, e 1, mexp5 1((a 1), (e 1), TRA. EFE 
p_l, n_l) (p_1), (n_1)) 


mexpkm 1((a 1), (e 1), 
(p_l), (n_1)) 
mexp5m 1((a 1), (e 1), 
(p_1), (n_1)) 


MEXP L (a 1，e 1, mexpk 1((a1), (e 1), (p 1), RẸ 
p_l, n_l) (n_1)) 


MIN L(a l; b1) (LT_L((a_1), (b1)) 两 个 CLINT 值 的 最 小 值 
有 

MSDPTR_L (n_1) ((n_1) + DIGITS L(n_1)) CLINT 对 象 最 高 有 效 位 的 指针 . 

OCTSTR L (n 1) xclint2str_1((n_1), 8, 0) 将 CLINT 对 象 转换 为 八进制 形式 

RMLDZRS L(n_1) while((DIGITS L(n_1) > 去 除 CLINT 对 象 的 前 导 零 


0)&& (*MSDPTR L(n 1) == 0)) 
{DECDIGITS L(n 1);} 


SET_L(n_l, ul) ul2clint_1((n_1), (ul)) 赋值 n_1<-ULONG ul 

SETDIGITS L (*(n_1) = (USHORT)(1)) 将 n_1 的 位 数 设 为 i 
(n_l, 1) 

SETONE L (n 1) u2clint_1((n_1), 1U) 将 n 1 设 为 1 

SETTWO L (n 1) u2clint_1((n_1), 2U) 将 n 1 设 为 2 


SETZERO L(n 1)  (*(n 1) = 0) 将 n 1 设 为 0 


sRandAES 1 (S)  (((USHORT)\ 
SwitchRandAES 1((S))\ 
<< 8) | (USHORT) \ 
SwitchRandAES 1((S))) 


SRandRMDSHA1_ 1 (S) (((USHORT) \ 
sRandRMDSHA1_1((S))\ 
<< 8) | (USHORT ) \ 
sRandRMDSHA1 1((S))) 


SWAP (a, b) ((a)*=(b), (b)*=(a), (a)*=(b)) 

SWAP_L (a_l, b_1) (xor 1((a 1),(b 1),(a 1)), 
xor_1((b_1),(a_1),(b_1)), 
xor_1((a_1),(b_1),(a_1))) 

ZEROCLINT L (n_1) memset((A), 0, sizeof(A)) 


生成 一 个 USHORT 类 型 的 随机 数 


生成 一 个 USHORT 类 型 的 随机 数 


交换 


交换 两 个 CLINT 值 


通过 重 写 删除 一 个 CLINT 变量 
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计算 时 间 


K D-1 和 表 D-2 给 出 了 一 些 FLINT/C 函数 的 计算 时 间 ， 这 些 艺 数 在 频率 为 2. 4GHz 
的 Pentium 3 处 理 器 、1GB 的 主 内 存 、Linux 操作 系统 和 gcc 3. 2. 2 的 环境 下 运行 。 我 们 
测量 了 次 运算 的 时 间 ， 再 将 结果 除 以 n。 根 据 函 数 的 不 同 ,，n 的 值 从 100 ~ 500 万 不 等 。 
为 了 比较 ， 我 们 给 出 了 表 D-3 来 显示 GNU 多 精度 算法 库 (GMP，4.1.2 版 ) 中 一 些 函 数 的 
计算 时 间 。 


表 D-1 一 些 C 函数 的 计算 时 间 ( 不 支持 汇编 程序 ) 
参数 的 二 进 制 位 数 ; 时 间 ( 秒 ) 


Hz: * 对 于 函数 div 1， 该 位 数 为 被 除数 的 位 数 ， 除 数 的 位 数 则 为 其 一 半 。 


我 们 可 以 清楚 地 看 出 ， 平 方 比 乘法 节省 时 间 。 还 可 以 看 出 ， 通 过 Montgomery of aX 
BLS mexpkm 1() 的 优势 ， 它 所 需要 的 时 间 只 是 用 mexpk_1 () 实 现 的 求 需 算法 的 一 半 多 一 
点 儿 。2048 位 密 钥 的 RSA 算法 只 需要 0. 5 秒 ， 如 果 利 用 中 国 剩余 定理 (参见 第 10 章 )， 则 
只 需要 1/4 秒 。 

K D-2 展示 了 当 使 用 汇编 程序 时 ,计算 时 间 上 的 不 同 。 汇 编程 序 的 文 持 使 得 求 模 函 数 
提速 了 约 70% ， 乘 法 和 平方 之 间 的 时 间 间 隔 则 稳定 在 50% 左 右 。 


表 D-2 一 些 C 函数 的 运行 时 间 ( 支 持 80x86 汇编 程序 ) 
参数 的 二 进 制 位 数 ; 时 间 ( 秒 ) 


mmal I | 32-10 | 6.8- 10 CAE s10 | 1.2. 0 
I 
lt 
| 


iuli 1.5+*10-§ | 2.2+10-§ | ags tot | 9.1+ 10-8 1.9 e 107 
aei 1.2°10-* | 1.8+10-* | 3.6+10-6 | 5.8+ 107 9.9+ 10-5 
wml] 2.8.1076 | 4.8. 10° 2.1. 107° 4. 7e 10-4 
maar: l 4.2+10-§ | 9.5+10-§ | Leig 2.9.1075 | 1.0+10-4 | 3.8.10- 
mexpk_1 1.31079 | 6.1*40-2 | 1.7«10— 2.5+10-' | 1.9 
mexpkm _ | 1.1 s Oe 5. 9 = 1073 1. 7 * 107? Sl 


注 ; <* 对 于 函数 div _1， 该 位 数 为 被 除数 的 位 数 ， 除数 的 位 数 则 为 其 一 半 。 


由 于 mulmon 1() 和 sqrmon 1() 这 两 个 图 数 不 存在 汇编 程序 ， 所 以 在 对 比 中 求 窜 函 数 
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mexpk 1 () 能 够 显著 地 赶 上 Montgomery RA mexpm_1 () ， 两 个 函数 差不多 一 样 快 。 这 里 
还 存在 一 个 通过 适当 的 汇编 程序 扩展 来 进一步 改善 性 能 的 可 能 (参见 第 19 章 )。 

对 比 FLINT/C 和 GMP 程序 ( 见 表 D-3) 时 ,我们 可 以 看 到 ，GMP 乘法 和 除法 比 
FLINT/C 程序 分 别 快 30% 和 40%。 而 与 本 书 第 1 版 中 2.0.2 版 的 GMP 相 比 ， 这 两 个 库 
中 的 模 寡 函数 差不多 一 样 。 这 里 GMP 开发 者 为 GMP EXM T 2 倍 的 速度 优势 。 

由 于 GMP 库 在 可 用 的 大 整数 运算 库 中 是 最 快 的 ， 所 以 我 们 不 应 当 对 这 个 结果 感到 不 
满意 。 当 然 ， 这 个 结果 也 可 以 作为 读者 探索 FLINT/C 库 可 能 性 的 动力 。 我 们 仍然 需要 做 
的 是 ，Montgomery 乘法 和 平方 的 汇编 实现 ， 对 使 用 Karatsuba 方法 的 乘法 和 平方 进一步 
改 并 将 它们 移植 到 汇编 程序 中 ， 并 做 实验 确定 这 些 方法 的 最 优 组 合 。 


R D-3 一 些 GMP 函数 的 计算 时 间 ( 支 持 80x86 汇编 程序 ) 
参数 的 二 进 制 位 数 ; 时 间 ( 秒 ) 


注 : x 对 于 元 数 mpz _ mod， 该 位 数 为 被 除数 的 位 数 ， 除数 的 位 数 则 为 其 一 半 。 
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符 号 


N 非 负 整数 集合 0，1，2，3，… 
N* 正 整数 集合 1，2，3，… 

Z MARE, —2, —1, 0, 1, 2, 3, 
Zn 整数 的 模 ”的 剩余 类 环 (第 5 章 ) 
Za 模 n 的 既 约 剩余 系 

F, p” 个 元 素 的 有 限 域 

a Z, P atn ZARR 

ab a 约 等 于 6 

a &b a 小 于 或 约 等 于 2 

a<-b 赋值 : 将 值 赋予 变量 a 

lal a 的 绝对 值 

a |b a 能 够 整除 4 

atb a 不 能 够 整除 2 


a=bmodn ab hin 同 余 ， 即 nn| (a 一 5) 
a 关 bmodn atybthin 不 同 余 ， 即 nt(a 一 5) 
gcd(a, b) a 5b 的 最 大 公 因 子 (10. 1 节 ) 
Iem(a, b) ab 的 最 小 公信 数 (10. 1 节 ) 


$(n) Euler $ KO. 2 节 ) 

OO “大 0”。 对 于 两 个 实数 值 函 数 f 和 g (g(2) 0), BALTE—TR BEC, 使 
得 f(z) 夺 Cg(zx) 对 于 所 有 充分 大 的 工 成 立 ， 则 我 们 认为 f 二 Ol(g) 和 且说 
“f Æg 的 大 O” 

ta Jacobi 符号 (10. 4.1 47) 

læ] 小 于 或 等 于 z 的 最 大 整数 

[eT 大 于 或 等 于 z 的 最 小 整数 

P 多 项 式 时 间 内 可 解 的 计算 问题 集合 

NP 多 项 式 时 间 内 非 确定 性 可 解 的 计算 问题 集合 

log,x 以 0 为 底 的 过 的 对 数 

B B=2", XIR CLINT 型 对 象 所 用 的 基数 


MAX, 以 B 为 基数 的 CLINT 对 象 的 最 大 位 数 
MAX, 以 2 为 基数 的 CLINT 对 象 的 最 大 位 数 
R CLINT 对 象 所 能 表示 的 最 大 自然 数 
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如 果 读 者 心里 对 算法 数论 的 趣味 性 和 实用 性 有 任何 疑问 ， 浏 览 大 量 关 于 这 个 问题 的 网 
站 就 会 马上 消除 这 些 疑 虑 ， 即 使 是 通过 重 写 读者 的 大 脑 寄存 需 。 在 你 最 喜爱 的 搜索 引擎 里 
输入 字符 串 “ 数 论 ”(number theory)， 你 就 会 得 到 上 千 条 结果 ， 其 中 一 小 部 分 已 经 被 本 
书 引 用 了 。 这 些 网 站 中 的 许多 都 包含 了 访问 可 使 用 软件 包 的 链接 ， 或 者 允许 下 载 这 些 软件 
包 。 这 些 软件 包 提 供 了 广泛 的 函数 ,包括 大 整数 运算 、 代 数 、 群 论 和 数论 ， 倾 注 了 许多 有 
才能 和 热情 的 开发 者 的 努力 。 

Keith Matthews (澳大利亚 ， 布 里 斯 班 的 昆士兰 大 学 ) 所 管理 的 数论 网 站 (Number 
Theory Web Page) 给 出 了 这 些 软 件 包 资 源 的 列表 。 网 站 的 网 址 是 : 

http:/www. maths. uq. edu. au/ ~ krm/web. html. 

该 网 址 也 包含 了 访问 大 学 和 研究 所 的 链接 ， 以 及 相关 课题 的 出 版 物 的 指引 。 总 之 ， 这 
个 网 站 可 谓 是 一 个 名 副 其 实 的 宝库 。 下 面 给 出 了 从 可 用 软件 包 列 表 中 选 出 的 一 小 部 分 软件 
包 的 概览 : 

e ARIBAS 是 一 个 翻译 希 ， 它 执行 大 整数 的 算数 和 数论 果 数 。ARIBAS 用 Pascal 实现 了 
LFors | 中 的 算法 ， 因 此 可 以 当 作 那 本 书 的 附录 ， 通 过 匿名 ftp 从 ftp. mathematik. uni- 
muenchen. de 的 目录 pub/forster/aribas 或 者 从 http://www. mathematik. uni- 
muenchen. de/ forster 获得 。 

e CALC， 由 Keith Matthews 开发 ， 是 一 个 可 计算 任意 大 的 整数 的 程序 ， 它 从 命令 行 获取 
命令 ， 执 行 它们 并 显示 结果 。CALC 用 ANSI C 实现 ， 使 用 解析 生成 器 YACC 或 BISON 
来 解析 命令 行 ， 它 实现 了 大 概 60 个 数论 函数 。CALC 可 以 从 http://www. numbertheory, 
org/cale/krm_calc. html 获得 。 

GNU MP 3} GMP, #8 GNU 工程 ， 是 一 个 用 于 任意 大 的 整数 、 有 理 数 和 实数 运算 
的 便携 式 C 库 。 由 于 GMP 为 一 系列 CPU 使 用 了 汇编 代码 ， 所 以 它 的 性 能 十 分 时 
W, GMP 可 以 通过 ftp 在 www. gnu. org. prep. ai. mit. edu, WE GNU 的 镜像 网 站 
下 载 。 
LiDIA 是 在 达 姆 斯 塔 特技 术 大 学 开发 的 数论 计算 软件 库 之 一 。LiDIA 包含 了 丰富 的 用 于 
EZ, Q, R, Cy Fr, Fe 中 计算 以 及 区 间 计 算 的 高 优化 函数 。 它 也 实现 了 当前 的 一 些 
因 式 分 解 算法 ， 如 用 于 格 基 归 约 、 线 性 代数 算法 、 数 域 计算 方法 和 多 项 式 的 算法 。 
LIDIA 支持 其 他 运算 包 的 接口 ， 包 括 GMP 包 。LiDIA 上 自己 的 解释 语言 LC 由 于 能 够 支持 
C++ ， 所 以 易于 转换 为 编译 的 程序 。 所 有 的 平台 ， 如 Linux 2.0.x、Windows NT 4.0、 
OS/2 Warp 4.0, HPUX-10. 20, SunSolaris 2. 5. 1/2.6， 都 允许 使 用 长 文件 名 ， 且 都 有 合 
适 的 C++ Hark Ar, Apple 的 Macintosh 中 也 有 一 个 接口 可 用 。LiDIA 可 以 从 http:/ 
www. informatik. tu-darmstadt. de/ TI/ LIDIA 获得 。 
© Numbers, H Ivo Dintsch 开发 ， 它 是 一 个 提供 了 最 大 150 位 十 进 制 数 的 基本 数论 函数 的 
对 象 文 件 库 。 这 些 图 数 用 Pascal 编写 ， 且 包 中 的 解释 如 也 是 以 向 学 生 提 供 重要 的 计算 示 
例 和 实验 为 目的 而 开发 的 。Numbers 的 源 代码 地 址 是 http://archives. math. utk. edu/ soft- 
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ware/msdos/ number. theory/num202d/. html, 

e PARI 是 由 Henri Cohen 等 人 开发 的 数论 软件 包 ， 它 实现 了 [LCohej 中 的 算法 。PARI 
可 以 用 作 解 释 器 且 能 作为 可 与 程序 链接 的 图 数 库 。 由 于 在 各 种 平台 (CUNIX、Macin- 
tosh, PC 及 其 他 ) 使 用 了 汇编 代码 ， 所 以 PARI 的 效率 非常 高 。PARI 的 获取 地 址 
是 www. parigp-home. de, 
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